Login
Menu

Roundcube-Sicherheitslücke CVE-2025-49113 gepatched

In den letzten Tagen gab es vermehrt Rückfragen bezüglich einer bestimmten Sicherheitslücke in der beliebten Webmail-Anwendung Roundcube, die auch bei uns im Einsatz ist. Dabei handelt es sich um die CVE-2025-49113. Wir möchten zunächst alle Kunden beruhigen, denn die Lücke wurde bei uns bereits gepatcht und werden nachfolgend erläutern, weshalb sich die Versionsnummer in Roundcube trotz der Behebung der Lücke nicht verändert hat.

KW24 – Einspielen der Sicherheitspatches für CVE-2025-49113

Roundcube hat für seine beiden aktiv gepflegten Entwicklungszweige 1.6 und 1.4 je eine neue Version veröffentlicht, die spezifisch eine gefundene Sicherheitslücke mit der Bezeichnung CVE-2025-49113 “Fix Post-Auth RCE via PHP Object Deserialization” adressiert und behebt. Bei uns ist ebenfalls Roundcube auf vielen Servern im Einsatz die über die Verwaltungsoberfläche Plesk betrieben werden. Nach der Veröffentlichung hat auch der Anbieter von Plesk direkt reagiert und uns als Anbieter zusätzlich sogar darauf hingewiesen. Es wurden die offiziellen Sicherheits-Updates entsprechend über ein kleines Plesk-Minor-Update zur Verfügung gestellt. Zusätzlich auch ein modifiziertes Skript, das Roundcube unabhängig davon auch für älteren Versionen aktualisiert.

Die Sicherheitspatches für CVE-2025-49113 wurden bei uns umgehend zu Beginn der vergangenen Woche eingespielt, so dass alle Server bei uns, auf denen Roundcube über Plesk läuft, abgesichert wurden. Als Kunde muss kein weiterer Schritt unternehmen werden, um sich vor dieser spezifischen Bedrohung zu schützen.

Versionsnummer nicht geändert?

Durch die sog. Backportierung der Patches wurde die Lücke behoben, es gab jedoch kein Versionsupdate von Roundcube. Aus diesem Grund ist weiterhin die frühere Version des Roundcube Webmail 1.6.10 bzw. 1.4.15 im Webmailer selbst ersichtlich. Trotz der gleichen Versionsnummer ist die Sicherheitslücke auf den Systemen geschlossen.

Dies ist häufig auch ein Standardvorgehen bei anderen Software-Updates, um schnelle und zielgerichtete Sicherheitskorrekturen zu ermöglichen, ohne Versionssprünge vornehmen zu müssen, die beispielweise neue Funktionen oder Anpassungen einführen, die zuvor getestet werden müssen. Tatsächlich hat die Version 1.6.11 einige weitere Änderungen implementiert, die bei uns mit einem späteren regulären Update dann zur Verfügung stehen werden.

Hintergrund: Was ist eigentlich CVE-2025-49113 ?

CVE steht für “Common Vulnerabilities and Exposures” (Allgemeine Schwachstellen und Risiken). Es handelt sich dabei um ein öffentliches Verzeichnis bekannter Cybersicherheitsrisiken. Jede CVE erhält eine eindeutige ID zur Benennung.

Die CVE-2025-49113 betraf eine Schwachstelle in Roundcube, die als “Reflected Cross-Site Scripting” (XSS) klassifiziert wurde. Kurz gesagt, hätte ein Angreifer unter bestimmten Umständen schadhaften Code in eine Webseite einschleusen können, der dann im Browser des Nutzers ausgeführt worden wäre, wenn dieser eine speziell präparierte E-Mail geöffnet hätte. Potentiell hätte dies dann zur Kompromittierung der aktuellen Benutzerdaten oder zur Übernahme einer Benutzer-Session führen können. Es ist wichtig zu betonen, dass ein direkter Serverzugriff nicht möglich gewesen wäre, aber die Risiken für einzelne über Webmail eingeloggte Nutzer konnten dennoch erheblich sein.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *
Bitte beachte, dass sich Dein Kommentar auf den Artikel beziehen sollte. Wenn Du ein persönliches Kundenanliegen besprechen möchtest, wende Dich bitte an unseren Kundenservice auf Facebook, Twitter oder über unsere Support-Seite.

Datenschutz-Übersicht
SpaceHost - Webhosting, Domains, Server auf SSD

Diese Website verwendet Cookies, damit wir dir die bestmögliche Benutzererfahrung bieten können. Cookie-Informationen werden in deinem Browser gespeichert und führen Funktionen aus, wie die Wiedererkennung von dir, wenn du auf unsere Website zurückkehrst. Cookies helfen unserem Team zu verstehen, welche Abschnitte der Website für dich am interessantesten und nützlichsten sind.

Erforderliche Cookies

Unbedingt notwendige Cookies für wesentliche Funktionen zur Sicherstellung der Servicekontinuität und Standortsicherheit, sowie zur Speicherung deiner Auswahl für die Cookie-Einstellung.

Analyse-Cookies

Diese Website verwendet Google Analytics, um anonyme Informationen wie die Anzahl der Besucher der Website und die beliebtesten Seiten zu sammeln.

Diesen Cookie aktiviert zu lassen, hilft uns dabei, unsere Produkte, Dienstleistungen und das Benutzererlebnis zu verbessern.

Zusätzliche Cookies

Diese Website verwendet die folgenden zusätzlichen Cookies:

- VG Wort (Session-Cookie)

Dieses Cookie hilft, die Vergütung von gesetzlichen Ansprüchen von Autoren und Verlagen zu ermitteln und hilft, eine rechtmäßige Vergütung sicherzustellen.