В сообществе специалистов по информационной безопасности поднята тревога в связи с выходом экстренных обновлений для популярного веб-клиента Roundcube Webmail. Обновления исправляют набор критических уязвимостей, включая одну, которая, по предварительной оценке экспертов CERT-SE, может получить максимальную оценку опасности по шкале CVSS - от 9.0 до 10.0 баллов. Эта уязвимость позволяет неавторизованному злоумышленнику записывать произвольные файлы на сервер, где работает Roundcube, что является прямым путём к полному захвату системы. Помимо этого, исправлена ошибка, дающая возможность изменять пароль пользователя без знания старого, что также представляет серьёзную угрозу конфиденциальности почтовых переписок.
Детали уязвимости
Проблема затрагивает широкий спектр пользователей, поскольку Roundcube Webmail - это открытое программное обеспечение, которое часто развёртывается внутри корпоративных сетей, у хостинг-провайдеров и в государственных учреждениях для организации доступа к почте через браузер. Уязвимы все версии, предшествующие исправленным: 1.7-rc5, 1.6.14 и 1.5.14. Разработчики настоятельно рекомендуют немедленно обновить все рабочие установки. Между тем, ни одна из обнаруженных уязвимостей пока не получила официальных идентификаторов CVE (Common Vulnerabilities and Exposures - каталог общеизвестных уязвимостей и угроз) и оценок CVSS, что, однако, не умаляет их опасности, а лишь подчёркивает свежесть обнаружения.
Глубокий анализ опубликованных исправлений показывает, что злоумышленники могли атаковать почтовые системы несколькими изощрёнными способами. Наиболее критичная уязвимость, приводящая к записи произвольных файлов, связана с небезопасной десериализацией (процессом восстановления объекта из последовательности байтов) в обработчике сессий для Redis или Memcached. Это классическая проблема, когда недоверенные данные снаружи воспринимаются системой как инструкции. В контексте Roundcube она позволяет атакующему, не проходя аутентификацию, разместить на сервере, например, веб-оболочку, что открывает путь к выполнению произвольного кода и полному контролю над сервером. Учитывая, что уязвимость эксплуатируется до этапа входа пользователя в систему, она особенно опасна, так как для атаки не требуется никаких учётных данных.
Другая серьёзная проблема - возможность смены пароля без подтверждения старого - напрямую нарушает базовый принцип аутентификации. Хотя для эксплуатации этой уязвимости злоумышленнику уже требуется быть авторизованным в системе, она создаёт значительные риски в сценариях, когда сессия пользователя была скомпрометирована или украдена, например, через атаку типа CSRF (подделка межсайтовых запросов). В таком случае злоумышленник может не только получить доступ к почте, но и закрепиться в системе, сменив пароль на свой и лишив законного владельца возможности войти в аккаунт. Это эффективный метод обеспечения persistence (закрепления в системе) после первоначального проникновения.
Кроме того, в пакете обновлений устранены и другие недостатки, повышающие общую устойчивость системы к атакам. Среди них - обход блокировки удалённых изображений через специально сформированные SVG-атрибуты и атрибуты фона тела письма, что могло использоваться для слежки за пользователями, отслеживая факт открытия письма. Также исправлена уязвимость типа SSRF (Server-Side Request Forgery - подделка запроса на стороне сервера), позволявшая через ссылки в таблицах стилей осуществлять запросы к хостам во внутренней сети и получать конфиденциальную информацию. Это создавало риски для всей внутренней инфраструктуры, так как почтовый сервер часто имеет доступ к сегментам сети, закрытым извне.
Последствия успешной эксплуатации этих уязвимостей, особенно первой, могут быть катастрофическими. Получение контроля над почтовым сервером ведёт не только к массовой утечке переписок, что само по себе является нарушением законодательства о защите персональных данных, но и даёт злоумышленнику плацдарм для дальнейших атак внутри сети организации. Скомпрометированный почтовый сервер может использоваться для рассылки фишинговых писем коллегам по корпоративной сети, что значительно повышает доверие к таким письмам. Кроме того, доступ к почтовым ящикам позволяет проводить целевые атаки на конкретных лиц, изучать их контакты и деловую активность.
Рекомендации для специалистов предельно ясны и срочны. Необходимо немедленно обновить все установки Roundcube Webmail до версий 1.7-rc5, 1.6.14 или 1.5.14 в зависимости от используемой ветки. Поскольку официальные CVE на момент публикации новости ещё не назначены, стандартные системы мониторинга уязвимостей могут не сигнализировать о проблеме автоматически, поэтому требуется проактивная проверка. Кроме того, CERT-SE советует провести анализ систем на предмет возможных инцидентов, так как уязвимости могли быть использованы до выхода заплаток. В качестве дополнительной меры безопасности стоит рассмотреть размещение веб-интерфейса почты за WAF (Web Application Firewall - межсетевой экран веб-приложений), который может помочь в блокировке попыток эксплуатации известных шаблонов атак, особенно связанных с инъекциями и SSRF. Данный инцидент в очередной раз демонстрирует важность своевременного применения обновлений безопасности даже для стабильного и проверенного временем программного обеспечения с открытым исходным кодом.
Ссылки
- https://roundcube.net/news/2026/03/18/security-updates-1.7-rc5-1.6.14-1.5.14
- https://www.cert.se/2026/03/sarbarheter-i-roundcube-webmail.html
