#news Кандидат на ключевую уязвимость месяца — RCE в почтовом софте Roundcube, CVE-2025-49113, 9.9 по CVSS — обзавёлся эксплойтом. Небезопасная десериализация в PHP, вызванная отсутствием санитизации на одном из параметров. Причём остававшаяся незамеченной 10 лет.
Патч вышел 1 июня, эксплойт на продажу появился в даркнете через пару дней. А за 1-day в Roundcube, как водится, в очередь мигом выстроятся все апэтэшечки, если это не какие-нибудь известные бездарности. Раскрывший уязвимость исследователь в выражениях не стесняется, называя её «Почтовым армагеддоном», а у поверхности атаки промышленные масштабы. Как обычно, вооружённые эксплойтом злоумышленники до систем доберутся гораздо раньше, чем исправления, так что можно ждать новостей от национальных кибербез-агентств, у которых организации в стране накатыванием патча озаботятся только постфактум. Видео с проверкой концепции здесь.
