Kritische Sicherheitslücke in Roundcube Webmail – sofortiges Update erforderlich

In Roundcube Webmail wurde eine schwerwiegende Schwachstelle (CVE-2025-49113) entdeckt, die es eingeloggten Angreifern ermöglicht, beliebigen Code auf dem Server auszuführen. Die Lücke steckt in der Datei-Upload-Funktion, wo ein Parameter nicht korrekt geprüft wird – was sogenannte PHP Object Deserialization ermöglicht. Die US-Behörde CISA hat die Schwachstelle bereits in ihren Katalog aktiv ausgenutzter Lücken aufgenommen, was bedeutet: Sie wird in freier Wildbahn angegriffen.

Betroffen sind alle Roundcube-Installationen vor Version 1.5.10 sowie die 1.6.x-Reihe vor Version 1.6.11. Wer eine selbst gehostete Roundcube-Instanz betreibt, sollte die eingesetzte Version sofort prüfen. Das geht meist über die Admin-Oberfläche oder direkt in der Versionsdatei des Webservers. Nutzer von Shared-Hosting-Paketen sollten beim Anbieter nachfragen, ob die Instanz bereits aktualisiert wurde.

Die Empfehlung ist eindeutig: Update auf 1.5.10 oder 1.6.11 ohne Verzug. Die gepatchten Versionen stehen auf GitHub und über die offizielle Roundcube-Website bereit. Debian-Nutzer können das Update über den normalen Paketmanager einspielen. Wer das Update nicht sofort durchführen kann, sollte den öffentlichen Zugriff auf die Webmail-Instanz vorübergehend einschränken.

Für reine Nutzer – also Personen, die Roundcube über einen Anbieter nutzen und keinen eigenen Server betreiben – besteht kein direkter Handlungsbedarf, außer den Anbieter auf den Patch anzusprechen.

Weitere Details: https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10 sowie der NVD-Eintrag: https://nvd.nist.gov/vuln/detail/CVE-2025-49113

Related Posts

Kritische Sicherheitslücke in Fortinet-Produkten ermöglicht unbefugten Zugriff

Fortinet warnt vor einer aktiv ausgenutzten Schwachstelle (CVE-2026-24858) mit kritischem CVSS-Score von 9,8. Die Lücke betrifft FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb und erlaubt Angreifern mit einem FortiCloud-Account, sich auf fremden Geräten anzumelden, wenn dort die FortiCloud SSO-Authentifizierung aktiviert ist.

Read More

Clawdbot: KI-Automation mit hohem Risiko

Stellen Sie sich vor: Eine KI, die nicht nur Fragen beantwortet, sondern tatsächlich Aufgaben auf Ihrem Computer ausführt. Die Ihren Browser steuert, Dateien verwaltet, Code schreibt und testet – alles per Chat-Befehl von Ihrem Smartphone aus. Klingt wie Science-Fiction? Willkommen bei Clawdbot, dem Open-Source-Projekt, das derzeit die Tech-Welt elektrisiert und nebenbei einen regelrechten Run auf Mac Minis ausgelöst hat.

Read More

Kritische Office-Schwachstelle CVE-2026-21509 wird aktiv ausgenutzt

Microsoft warnt vor einer Sicherheitslücke in Office-Produkten, die OLE-Schutzmaßnahmen umgeht und bereits aktiv von Angreifern ausgenutzt wird. Die Schwachstelle (CVE-2026-21509, CVSS 7.8) betrifft Microsoft Office 2016, 2019, Office LTSC 2021/2024 sowie Microsoft 365 Apps for Enterprise und ermöglicht es Angreifern, vulnerable COM/OLE-Controls auszunutzen, die normalerweise blockiert werden sollten. Ein erfolgreicher Angriff kann zur vollständigen Kompromittierung des Systems führen.

Read More