Roundcube Webmail漏洞允许认证用户运行恶意代码

网络安全研究人员近日披露潜伏长达十年的Roundcube Webmail高危漏洞（CVE-2025-49113，CVSS评分9.9），允许认证用户通过反序列化攻击执行任意代码，完全控制受影响系统。该漏洞源于program actions settings upload.php文件未验证_from参数，影响1.6.10及更早版本和1.5.x系列，官方已在1.6.11与1.5.10 LTS版本中修复。