204/68 (IT) ประจำวันศุกร์ที่ 6 มิถุนายน 2568
นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์เปิดเผยช่องโหว่ร้ายแรง ที่หมายเลข CVE-2025-49113 (CVSS 9.9) ใน Roundcube Webmail ซอฟต์แวร์รับส่งอีเมลผ่านเว็บยอดนิยม ที่ถูกใช้งานอย่างแพร่หลายมากว่า 10 ปี โดยช่องโหว่นี้เปิดให้ผู้โจมตีที่ผ่านการยืนยันตัวตนสามารถสั่งรันโค้ดอันตรายจากระยะไกล (Remote Code Execution) และยึดระบบได้ทันที ปัญหานี้ถูกค้นพบโดย Kirill Firsov ของบริษัท FearsOff และได้รับการแก้ไขแล้วใน เวอร์ชัน 1.5.10 (LTS) และ 1.6.11
ตามคำอธิบายจาก NIST ช่องโหว่นี้เกิดจากการไม่ตรวจสอบค่าพารามิเตอร์ _from ที่ส่งผ่าน URL ไปยังไฟล์ upload.php ซึ่งนำไปสู่ช่องโหว่ PHP Object Deserialization ทำให้สามารถสั่งรันคำสั่งใด ๆ ได้โดยไม่จำกัดสิทธิ์ โดย Firsov ประเมินว่าช่องโหว่นี้ส่งผลกระทบต่อโฮสต์มากกว่า 53 ล้านเครื่อง รวมถึงผู้ให้บริการ hosting และแผงควบคุมยอดนิยมอย่าง cPanel, Plesk, ISPConfig และ DirectAdmin และระบุว่าจะเผยแพร่รายละเอียดเชิงเทคนิคและ PoC (Proof-of-Concept) ในเร็ว ๆ นี้
นักวิจัยจาก Positive Technologies ยืนยันว่าสามารถทำให้ช่องโหว่นี้เกิดขึ้นได้จริง และเตือนให้ผู้ใช้รีบอัปเดต Roundcube เป็นเวอร์ชันล่าสุดทันที โดยในอดีต Roundcube เคยถูกใช้เป็นเป้าหมายในการโจมตีจากกลุ่ม APT เช่น APT28 และ Winter Vivern เพื่อดักขโมยข้อมูลล็อกอินและสอดแนมอีเมล
