Page 1 of 1
Roundcube Webmail 1.6.11
Posted: Sun 1. Jun 2025, 10:25
by Ralph
This is a security update to the stable version 1.6 of Roundcube Webmail.
It provides fixes to recently reported security vulnerabilities:
Fix Post-Auth RCE via PHP Object Deserialization reported by firs0v.
https://github.com/roundcube/roundcubem ... tag/1.6.11
Re: Roundcube Webmail 1.6.11
Posted: Thu 5. Jun 2025, 11:20
by Ralph
Wäre nicht übel wenn bei solchen Fällen z.b. für RC und PMA ein Patch script unabhängig von einem Panel Update verfügbar wäre.
z.b ein security Folder auf keyhelp/keyweb zum Patch download und Ankündigung im changelog oder in den KH News ...
https://www.heise.de/news/Kritische-Sch ... 23965.html
eventl. reicht das bereits aus:
https://github.com/roundcube/roundcubem ... b4e7729c4d
Re: Roundcube Webmail 1.6.11
Posted: Fri 6. Jun 2025, 13:22
by rbngr
Joa, das wäre tatsächlich nicht schlecht, so ist es jetzt eine unangenehme Situation.
Re: Roundcube Webmail 1.6.11
Posted: Fri 6. Jun 2025, 13:48
by Tobi
Das bekommt ihr doch händisch hin?
Alex hat genau auf dem Schirm was wo kritisch werden könnte.
Seid versichert, auch er hat diese ganzen CVE-Listen im E-Mail-Abo.
Re: Roundcube Webmail 1.6.11
Posted: Fri 6. Jun 2025, 17:51
by Ralph
na gut ...der Part mit tests/Framework/Utils.php fällt weg:
dann sollten die Änderungen so in etwa aussehen:
Ohne Gewähr!
https://github.com/roundcube/roundcubem ... b4e7729c4d
Code: Select all
nano /home/keyhelp/www/roundcube/program/actions/settings/upload.php
// Validate URL input.
if (!rcube_utils::is_simple_string($type)) {
rcmail::write_log('errors', 'The URL parameter "_from" contains disallowed characters and the request is thus rejected.');
$rcmail->output->command('display_message', 'Invalid input', 'error');
$rcmail->output->send('iframe');
}
Code: Select all
nano /home/keyhelp/www/roundcube/program/lib/Roundcube/rcube_utils.php
/**
* Check if input value is a "simple" string.
* "Simple" is defined as a non-empty string containing only
* - "word" characters (alphanumeric plus underscore),
* - dots,
* - dashes.
*
* @param string $input The string to test
*
* @return bool
*/
public static function is_simple_string($input)
{
return is_string($input) && !!preg_match('/^[\w.-]+$/i', $input);
}
da ist noch ein 1 Parent file ... keine Ahnung ob es als security fix gedacht ist, habe es mal mit geändert ...
den oberen else if part über Note deaktivieren //
https://github.com/roundcube/roundcubem ... f842671250
Code: Select all
nano /home/keyhelp/www/roundcube/program/lib/Roundcube/rcube_message.php
//else if ($part_mimetype == 'application/ms-tnef' && $this->tnef_decode) {
// Note: It can be application/ms-tnef or application/vnd.ms-tnefMore actions
elseif ($primary_type == 'application' && strpos($secondary_type, 'ms-tnef') !== false
&& $this->tnef_decode
) {
Re: Roundcube Webmail 1.6.11
Posted: Fri 6. Jun 2025, 18:42
by Ralph
Update
Ich hab mir das nochmal etwas genauer angeschaut ...
Der rcube_message.php part am Ende ist hierbei nicht relevant aber:
https://www.cvedetails.com/cve/CVE-2025-49113/
https://thehackernews.com/2025/06/criti ... bmail.html
Wird oben im CVE report als References for CVE-2025-49113 mit aufgeführt:
https://github.com/roundcube/roundcubem ... 1deb32637e
allerdings sind diese Änderungen bereits in der 1.6.9 enthalten (vermutlich betrifft es noch die LTS < 1.5.10)
es geht bei der 1.6.9 also nur wie oben bereits erwähnt darum:
https://github.com/roundcube/roundcubem ... b4e7729c4d
Re: Roundcube Webmail 1.6.11
Posted: Fri 6. Jun 2025, 19:13
by Tobi
Deswegen:
Lass das mal den Alex machen.
Re: Roundcube Webmail 1.6.11
Posted: Fri 6. Jun 2025, 19:28
by Ralph
also die beiden validate parts machen keine Probleme mit 1.6.9 und kommen dem KH Update nicht in die Quere ...
ich kann so besser schlafen ... derweil
"This vulnerability is now known, exploitable, and being sold," Firsov said. "Consider monitoring file uploads, session activity, and other indicators tied to this attack vector."
Alternativ könnte aber auch Snappymail aktiviert werden!