كشف باحثون أمنيون عن ثغرة أمنية حرجة في برنامج Roundcube للبريد الإلكتروني ظلت خفية لمدة عشر سنوات، ويمكن استغلالها لاختراق الأنظمة المعرضة وتنفيذ تعليمات برمجية خبيثة.
تم تصنيف الثغرة التي تحمل الرقم CVE-2025-49113 بدرجة خطورة 9.9 من 10 على مقياس CVSS، وتوصف بأنها تتيح تنفيذ تعليمات برمجية عن بُعد بعد المصادقة من خلال إلغاء تسلسل كائنات PHP.
وفقًا لقاعدة البيانات الوطنية للثغرات (NVD)، فإن “برنامج Roundcube Webmail قبل الإصدار 1.5.10 و1.6.x قبل 1.6.11 يسمح بتنفيذ تعليمات برمجية عن بُعد من قبل المستخدمين المصادق عليهم بسبب عدم التحقق من معلمة _from في عنوان URL في ملف program/actions/settings/upload.php، مما يؤدي إلى إلغاء تسلسل كائنات PHP”.
وتؤثر هذه الثغرة على جميع إصدارات البرنامج حتى الإصدار 1.6.10، وقد تم إصلاحها في الإصدارين 1.6.11 و1.5.10 LTS. اكتشف الثغرة وأبلغ عنها كيريل فيرسوف، مؤسس والرئيس التنفيذي لشركة FearsOff الأمنية.
أعلنت الشركة الأمنية التي تتخذ من دبي مقرًا لها أنها تنوي الكشف قريبًا عن تفاصيل تقنية إضافية ونموذج إثبات مفهوم (PoC) لإتاحة الوقت الكافي للمستخدمين لتطبيق التحديثات الأمنية اللازمة.
استهداف سابق من قبل مجموعات قرصنة
شهد برنامج Roundcube استهدافًا مكثفًا من قبل مجموعات قرصنة مدعومة من دول، حيث:
-
حاول قراصنة مجهولون استغلال ثغرة سابقة (CVE-2024-37383) في هجمات تصيد لسرقة بيانات الاعتماد
-
استغلت مجموعة APT28 ثغرات عبر مواقع مختلفة (XSS) في خوادم بريد إلكتروني بما في ذلك Roundcube لسرقة بيانات حساسة من حسابات بريدية تابعة لكيانات حكومية وشركات دفاع في أوروبا الشرقية
توصيات أمنية عاجلة
ينصح الخبراء جميع مستخدمي Roundcube بـ:
-
التحديث الفوري إلى الإصدارات 1.6.11 أو 1.5.10 LTS
-
مراجعة سجلات النظام لاكتشاف أي أنشطة مشبوهة
-
تطبيق مبدأ أقل صلاحية للمستخدمين
-
مراقبة حسابات البريد الإلكتروني لاكتشاف أي محاولات وصول غير مصرح بها
