WebMail là một ứng dụng quản lý các thư điện tử, chỉ chạy trên nền tảng website. Người dùng có thể sử dụng công cụ này trên mọi trình duyệt với nhiều thiết bị khác nhau từ điện thoại, máy tính, tablet… nhưng không thể cài đặt app về máy.

Lỗ hổng này, ảnh hưởng đến webmail Roundcube phiên bản 1.1.0 đến 1.6.10, kéo dài hơn một thập kỷ, tuy nhiên, nó đã được vá vào ngày 01/6/2025, sau khi nhà nghiên cứu bảo mật Kirill Firsov phát hiện và báo cáo về chúng.

Lỗ hổng này bắt nguồn từ một đầu vào chưa được kiểm soát ($_GET['_from']), cho phép hủy tuần tự ngôn ngữ lập trình PHP và làm hỏng khóa phiên bắt đầu bằng một dấu chấm than.

Ngay sau khi bản vá được phát hành, tin tặc đã đảo ngược kỹ thuật để phát triển một khai thác đang hoạt động, mà chúng đã bán trên các diễn đàn ngầm.

Mặc dù việc khai thác lỗ hổng CVE-2025-49113 yêu cầu xác thực, nhưng những kẻ tấn công khẳng định rằng, thông tin xác thực hợp lệ có thể được lấy thông qua loại hình tấn công CSRF, thu thập nhật ký hoặc tấn công bằng cách dùng vũ lực. CSRF (viết tắt của Cross-Site Request Forgery) hay còn gọi là giả mạo yêu cầu chéo trang là một loại hình tấn công mạng trong đó kẻ tấn công lừa người dùng thực hiện các hành động trái ý muốn trên một trang web mà người dùng đã được xác thực. Nói cách khác, kẻ tấn công lợi dụng sự tin tưởng của trình duyệt và người dùng để thực hiện các hành động độc hại mà người dùng không hề hay biết.  

Nhà nghiên cứu Firsov đã chia sẻ thông tin chi tiết kỹ thuật về lỗ hổng trên trang blog của mình để giúp bảo vệ chống lại các nỗ lực khai thác đang diễn ra.

Phơi nhiễm lớn

Nền tảng webmail Roundcube được sử dụng rộng rãi trong dịch vụ lưu trữ chia sẻ (GoDaddy, Hostinger, OVH) và các lĩnh vực chính phủ, giáo dục và công nghệ, với hơn 1.200.000 trường hợp có thể nhìn thấy trực tuyến.

Nền tảng giám sát mối đe dọa Shadowserver Foundation báo cáo rằng, các lần quét Internet của họ trả về 84.925 trường hợp Roundcube dễ bị tấn công bởi CVE-2025-49113 tính đến ngày 08/6/2025. Hầu hết các trường hợp này đều ở Hoa Kỳ (19.500), Ấn Độ (15.500), Đức (13.600), Pháp (3.600), Canada (3.500) và Vương quốc Anh (2.400).

Xét đến rủi ro khai thác cao và khả năng đánh cắp dữ liệu, việc để lộ những trường hợp đó là rủi ro an ninh mạng đáng kể.

Quản trị viên hệ thống được khuyến nghị cập nhật lên phiên bản 1.6.11 và 1.5.10 sẽ góp phần giải quyết lỗ hổng CVE-2025-49113 càng sớm càng tốt.

Không rõ liệu lỗ hổng này có được sử dụng trong các cuộc tấn công thực tế hay không và ở quy mô nào, nhưng vẫn nên hành động ngay lập tức.

Nếu bạn không thể nâng cấp, nên hạn chế quyền truy cập vào webmail, tắt tính năng tải tệp lên, thêm tính năng bảo vệ CSRF, chặn các hàm PHP rủi ro và theo dõi các chỉ báo khai thác.