Les pirates commencent probablement à exploiter CVE-2025-49113, une vulnérabilité critique dans l’application de messagerie Web open source Roundcube largement utilisée qui permet l’exécution à distance.
Le problème de sécurité est présent dans Roundcube depuis plus d’une décennie et affecte les versions de Roundcube webmail 1.1.0 à 1.6.10. Il a reçu un patch le 1er juin.
Il n’a fallu que quelques jours aux attaquants pour procéder à l’ingénierie inverse du correctif, militariser la vulnérabilité et commencer à vendre un exploit fonctionnel sur au moins un forum de pirates informatiques.
Roundcube est l’une des solutions de messagerie Web les plus populaires car le produit est inclus dans les offres de fournisseurs d’hébergement bien connus tels que GoDaddy, Hostinger, Dreamhost ou OVH.
« E-mail de l’armageddon »
CVE-2025-49113 est une vulnérabilité d’exécution de code à distance (RCE) post-authentification qui a reçu un score de gravité critique de 9,9 sur 10 et est décrite comme “email armageddon.”
Il a été découvert et signalé par Kirill Firsov, PDG de la société de cybersécurité FearsOff, qui a décidé de publier les détails techniques avant la fin de la période de divulgation responsable car un exploit était devenu disponible.
« Compte tenu de l’exploitation active et des preuves de l’exploit vendu dans des forums clandestins, je pense qu’il est dans le meilleur intérêt des défenseurs, des équipes bleues et de la communauté de la sécurité au sens large de publier une ventilation technique complète, mais sans PoC complet pour l’instant » – Kirill Firsov
À la racine du problème de sécurité se trouve le manque de nettoyage du paramètre $_GET[‘_from’], ce qui conduit à la désérialisation des objets PHP.
Dans le rapport technique, Firsov explique que lorsqu’un point d’exclamation lance un nom de variable de session, la session est corrompue et l’injection d’objets devient possible.
Après que Roundcube a reçu un correctif, les attaquants ont analysé les modifications qu’il a introduites, ont développé un exploit et l’ont annoncé sur un forum de pirates informatiques, notant qu’une connexion fonctionnelle est requise.
Cependant, le besoin d’informations de connexion ne semble pas dissuasif, car l’auteur de la menace proposant l’exploit dit qu’il peut l’extraire des journaux ou qu’il peut être forcé brutalement.
Firsov dit que la combinaison d’informations d’identification pourrait également être obtenue par falsification de requêtes intersites (CSRF).
Selon Firsov, au moins un courtier en vulnérabilités paie jusqu’à 50 000 $pour un exploit RCE dans Roundcube.
Le chercheur a publié une vidéo pour démontrer comment la vulnérabilité peut être exploitée. Il convient de noter que le chercheur utilise l’identifiant de vulnérabilité CVE-2025-48745 dans la démonstration, qui est actuellement rejeté en tant que candidat en double pour CVE-2025-49113.
Bien qu’il s’agisse d’une application moins connue des consommateurs, Roundcube est très populaire, principalement parce qu’elle est hautement personnalisable avec plus de 200 options et qu’elle est disponible gratuitement.
En plus d’être proposés par des fournisseurs d’hébergement et regroupés dans des panneaux de contrôle d’hébergement Web (cPanel, Plesk), de nombreuses organisations des secteurs gouvernemental, universitaire et technologique utilisent Roundcube.
Firsov dit également que cette application de messagerie Web a une telle présence qu’un pentester est plus susceptible de trouver une instance Roundcube qu’une mauvaise configuration SSL.
Compte tenu de l’omniprésence de l’application, le chercheur affirme que “la surface d’attaque n’est pas grande, elle est industrielle.”
En effet, un rapide coup d’œil sur les moteurs de recherche pour découvrir les appareils et services connectés à Internet montre au moins 1,2 million d’hôtes Roundcube.