Roundcube Webmail 1.6.11

[Ralph]

This is a security update to the stable version 1.6 of Roundcube Webmail.
It provides fixes to recently reported security vulnerabilities:
Fix Post-Auth RCE via PHP Object Deserialization reported by firs0v.

https://github.com/roundcube/roundcubem ... tag/1.6.11

[Ralph]

Wäre nicht übel wenn bei solchen Fällen z.b. für RC und PMA ein Patch script unabhängig von einem Panel Update verfügbar wäre.
z.b ein security Folder auf keyhelp/keyweb zum Patch download und Ankündigung im changelog oder in den KH News ...
https://www.heise.de/news/Kritische-Sch ... 23965.html
eventl. reicht das bereits aus:
https://github.com/roundcube/roundcubem ... b4e7729c4d

[rbngr]

Joa, das wäre tatsächlich nicht schlecht, so ist es jetzt eine unangenehme Situation.

[Tobi]

eventl. reicht das bereits aus:
https://github.com/roundcube/roundcubem ... b4e7729c4d

Das bekommt ihr doch händisch hin?

Alex hat genau auf dem Schirm was wo kritisch werden könnte.
Seid versichert, auch er hat diese ganzen CVE-Listen im E-Mail-Abo.

[Ralph]

na gut ...der Part mit tests/Framework/Utils.php fällt weg:
dann sollten die Änderungen so in etwa aussehen:

Ohne Gewähr!
https://github.com/roundcube/roundcubem ... b4e7729c4d

Code: Select all

nano /home/keyhelp/www/roundcube/program/actions/settings/upload.php

        // Validate URL input.
        if (!rcube_utils::is_simple_string($type)) {
            rcmail::write_log('errors', 'The URL parameter "_from" contains disallowed characters and the request is thus rejected.');
            $rcmail->output->command('display_message', 'Invalid input', 'error');
            $rcmail->output->send('iframe');
        }

Code: Select all

nano /home/keyhelp/www/roundcube/program/lib/Roundcube/rcube_utils.php

    /**
     * Check if input value is a "simple" string.
     * "Simple" is defined as a non-empty string containing only
     *  - "word" characters (alphanumeric plus underscore),
     *  - dots,
     *  - dashes.
     *
     * @param string $input The string to test
     *
     * @return bool
     */
    public static function is_simple_string($input)
    {
        return is_string($input) && !!preg_match('/^[\w.-]+$/i', $input);
    }

da ist noch ein 1 Parent file ... keine Ahnung ob es als security fix gedacht ist, habe es mal mit geändert ...
den oberen else if part über Note deaktivieren //
https://github.com/roundcube/roundcubem ... f842671250

Code: Select all

nano /home/keyhelp/www/roundcube/program/lib/Roundcube/rcube_message.php

                //else if ($part_mimetype == 'application/ms-tnef' && $this->tnef_decode) {
                // Note: It can be application/ms-tnef or application/vnd.ms-tnefMore actions
                elseif ($primary_type == 'application' && strpos($secondary_type, 'ms-tnef') !== false
                    && $this->tnef_decode
                ) {

Code: Select all

systemctl restart apache2

[Ralph]

Update
Ich hab mir das nochmal etwas genauer angeschaut ...
Der rcube_message.php part am Ende ist hierbei nicht relevant aber:
https://www.cvedetails.com/cve/CVE-2025-49113/
https://thehackernews.com/2025/06/criti ... bmail.html

Wird oben im CVE report als References for CVE-2025-49113 mit aufgeführt:
https://github.com/roundcube/roundcubem ... 1deb32637e
allerdings sind diese Änderungen bereits in der 1.6.9 enthalten (vermutlich betrifft es noch die LTS < 1.5.10)

es geht bei der 1.6.9 also nur wie oben bereits erwähnt darum:
https://github.com/roundcube/roundcubem ... b4e7729c4d

[Tobi]

Deswegen:
Lass das mal den Alex machen.

[Ralph]

also die beiden validate parts machen keine Probleme mit 1.6.9 und kommen dem KH Update nicht in die Quere ...
ich kann so besser schlafen ... derweil

"This vulnerability is now known, exploitable, and being sold," Firsov said. "Consider monitoring file uploads, session activity, and other indicators tied to this attack vector."

Alternativ könnte aber auch Snappymail aktiviert werden!