In Roundcube Webmail wurde eine schwerwiegende Schwachstelle (CVE-2025-49113) entdeckt, die es eingeloggten Angreifern ermöglicht, beliebigen Code auf dem Server auszuführen. Die Lücke steckt in der Datei-Upload-Funktion, wo ein Parameter nicht korrekt geprüft wird – was sogenannte PHP Object Deserialization ermöglicht. Die US-Behörde CISA hat die Schwachstelle bereits in ihren Katalog aktiv ausgenutzter Lücken aufgenommen, was bedeutet: Sie wird in freier Wildbahn angegriffen.
Betroffen sind alle Roundcube-Installationen vor Version 1.5.10 sowie die 1.6.x-Reihe vor Version 1.6.11. Wer eine selbst gehostete Roundcube-Instanz betreibt, sollte die eingesetzte Version sofort prüfen. Das geht meist über die Admin-Oberfläche oder direkt in der Versionsdatei des Webservers. Nutzer von Shared-Hosting-Paketen sollten beim Anbieter nachfragen, ob die Instanz bereits aktualisiert wurde.
Die Empfehlung ist eindeutig: Update auf 1.5.10 oder 1.6.11 ohne Verzug. Die gepatchten Versionen stehen auf GitHub und über die offizielle Roundcube-Website bereit. Debian-Nutzer können das Update über den normalen Paketmanager einspielen. Wer das Update nicht sofort durchführen kann, sollte den öffentlichen Zugriff auf die Webmail-Instanz vorübergehend einschränken.
Für reine Nutzer – also Personen, die Roundcube über einen Anbieter nutzen und keinen eigenen Server betreiben – besteht kein direkter Handlungsbedarf, außer den Anbieter auf den Patch anzusprechen.
Weitere Details: https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10 sowie der NVD-Eintrag: https://nvd.nist.gov/vuln/detail/CVE-2025-49113
