Exploit für kritische Roundcube-Lücke im Umlauf

- 10. Juni 2025

Roundcube ist ein weit verbreiteter, quelloffener Webmail-Client, der es
Nutzerinnen und Nutzern ermöglicht, E-Mails direkt im Browser zu verwalten. Die
PHP-basierte Anwendung wird häufig von Webhostern, Universitäten, Unternehmen
und Behörden eingesetzt, da sie sich einfach installieren lässt und eine
benutzerfreundliche Oberfläche bietet. Doch eine neu entdeckte, als kritisch
eingestufte Sicherheitslücke zwingt Admins nun zum schnellen Handeln.

In älteren Roundcube-Versionen (vor 1.5.10 bzw. 1.6.11) existiert eine Schwachstelle, über die Angreifer beliebigen Code auf dem Server ausführen können – vorausgesetzt, sie sind bereits als Benutzer eingeloggt. Die Ursache liegt in der Datei program/actions/settings/upload.php. Dort wird der Parameter from, der etwa beim Hochladen von Konfigurationsdateien übergeben wird, nicht ausreichend validiert. Ein Angreifer kann diesen Parameter manipulieren, sodass Roundcube eine URL aufruft, deren Inhalt dann unkontrolliert verarbeitet wird. Dies ermöglicht es, fremden Code von einem externen Server herunterzuladen und direkt auszuführen – ein klassisches Einfallstor etwa für Webshells oder Remote Access Tools.

Anfang Juni wurde ein Proof-of-Concept auf GitHub veröffentlicht, das die Lücke voll ausnutzt. Die dort bereitgestellte Vorlage für den Schwachstellenscanner Nuclei zeigt, wie einfach eine entsprechend präparierte URL automatisiert genutzt werden kann, um Remote-Code einzuschleusen. Sobald sich ein Angreifer über ein legitimes E-Mail-Konto Zugang zur Roundcube-Oberfläche verschafft hat, kann er den Upload-Mechanismus gezielt missbrauchen.

Zwar ist eine Authentifizierung notwendig, um die Lücke auszunutzen – das Risiko bleibt dennoch hoch. Laut dem Sicherheitsteam von FearsOff, das die Schwachstelle entdeckt hat, besteht sie bereits seit rund zehn Jahren und betrifft möglicherweise mehr als 53 Millionen Systeme weltweit. Die Angreifbarkeit ist daher flächendeckend gegeben, insbesondere bei öffentlich erreichbaren Roundcube-Installationen.

Bislang sind zwar noch keine aktiven Angriffskampagnen bekannt, doch angesichts der Verfügbarkeit eines funktionierenden Exploits ist in naher Zukunft mit ersten Attacken zu rechnen. Admins sollten daher unverzüglich handeln und ihre Systeme auf die gepatchten Versionen 1.5.10 oder 1.6.11 aktualisieren. Zusätzlich empfiehlt es sich, die Server-Logs auf verdächtige Aktivitäten zu prüfen, Datei-Uploads restriktiver zu konfigurieren und gegebenenfalls temporär eine Web Application Firewall (WAF) zur Absicherung einzusetzen.

SCHLAGWORTE
Roundcube
Security

Zoom Node: Angreifer können Schadcode ausführen

Zoom Node ist eine von Unternehmen betriebene Serverkomponente, mit der sich Zoom-Workloads wie Meetings und Videoanrufe in der eigenen Infrastruktur hosten und steuern lassen. Genau diese Zoom-Node-Serve sind von einer gravierenden Sicherheitslücke betroffen, über die Angreifer Schadcode auf...

Kritische FortiSIEM-Lücke: verfügbar, Updates dringend einspielen

FortiSIEM ist eine SIEM-Plattform von Fortinet zur zentralen Erfassung, Korrelation und Auswertung von Sicherheitsereignissen in IT-Umgebungen. Fortinet hat Updates veröffentlicht, darunter einen Fix für eine kritische Schwachstelle. Inzwischen ist ein Proof-of-Concept-Exploit öffentlich...

VLC-Schwachstellen korrigiert

Das VideoLAN-Projekt hat die Versionen 3.0.22 und 3.0.23 des VLC Players bereitgestellt, um mehrere Schwachstellen in der Medienverarbeitung zu beheben. Die Updates adressieren Fehler, die beim Einlesen verschiedener Formate und Container – darunter MP4, Ogg, ASF sowie diverse Untertitel-Module...

Plex Media Server: Zugriff für Angreifer

Der Plex Media Server ist eine Software, mit der Nutzer ihre eigenen Filme, Serien, Musik und Fotos zentral verwalten und auf unterschiedliche Geräte wie Smart-TVs, Smartphones oder Streaming-Boxen streamen können. Obwohl die Entwickler im August eine kritische Authentifizierungslücke im...

MongoBleed-Attacke gegen MongoDB

MongoDB ist eine weitverbreitete Open-Source-NoSQL-Datenbank, die vor allem für die Verarbeitung großer, unstrukturierter Datenmengen eingesetzt wird. Eine kürzlich bekannt gewordene Sicherheitslücke in der Software lässt sich mit geringem Aufwand ausnutzen und ermöglicht den Zugriff auf...

Fehler in Apache Commons Text

In der Bibliothek Apache Commons Text ist eine Sicherheitslücke identifiziert worden. Sie ermöglicht es Angreifern, aus der Ferne Schadcode nachzuladen und unmittelbar auszuführen. Obwohl bereits seit geraumer Zeit ein entsprechendes Sicherheitsupdate verfügbar ist, wird die betroffene...

E-Mail Benachrichtigung

0 Kommentare

Älteste

Neuste Beste Bewertung

Wir melden uns mit einer kurzen Folge direkt von den Chemnitzer Linux-Tagen 2026. Es war wieder ein aufregendes CLT-Wochenende – und wir hoffen, dass euch unsere Kurz-Interviews einen guten Eindruck von der Veranstaltung vermitteln.