[Mise à jour du 06 juin 2025]
Une preuve de concept est publiquement disponible. [Publication initiale]
Le 01 juin 2025, Roundcube a publié …"/> [Mise à jour du 06 juin 2025]
Une preuve de concept est publiquement disponible. [Publication initiale]
Le 01 juin 2025, Roundcube a publié …"/> [Mise à jour du 06 juin 2025]
Une preuve de concept est publiquement disponible. [Publication initiale]
Le 01 juin 2025, Roundcube a publié …"/>
VDB

CERTFR-2025-ALE-008

CERTFR-2025-ALE-008 PUBLISHED CVSS 9.899999618530273 CRITICAL

<span class="important-content"><b>[Mise à jour du 06 juin 2025]</b></span></br> Une preuve de concept est publiquement disponible. [Publication initiale]</br> Le 01 juin 2025, Roundcube a publié des correctifs concernant une vulnérabilité critique affectant son portail de messagerie ainsi que tous les produits l'incluant (par exemple cPanel et Plesk). Cette vulnérabilité permet à un utilisateur authentifié d'exécuter du code arbitraire à distance. L'éditeur ne mentionne pas d'identifiant CVE. Des détails techniques sur cette vulnérabilité ont été publiés avec l'identifiant CVE-2025-49113. Le CERT-FR anticipe la disponibilité imminente de codes d'exploitation et recommande fortement de mettre à jour dans les plus brefs délais au vu du nombre important de produits exposés.

Risk Scores

CVSS v3.1
9.899999618530273
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Affected Products

VendorProductVersions
RoundcubeWebmail0, 1.6.0
roundcubewebmail1.6.0, 0

Timeline

  • May 19, 2025 CVE Published
  • Jun 2, 2025 PoC Published
  • Jun 2, 2025 PoC Published
  • Jun 2, 2025 PoC Published
  • Jun 2, 2025 PoC Published
  • Jun 3, 2025 PoC Published
  • Jun 3, 2025 PoC Published
  • Jun 3, 2025 PoC Published
  • Jun 4, 2025 PoC Published
  • Jun 4, 2025 PoC Published
  • Jun 4, 2025 PoC Published
  • Jun 4, 2025 PoC Published

References

Open in Interactive Console →
$ Console Community · 100/wk Open console ›