เตือนภัย! ช่องโหว่ร้ายแรง มีมานานกว่า 10 ปี ในเว็บเมล์ Roundcube อัปเดตด่วน!!

ถือเป็นเรื่องน่าตกใจ เมื่อมีการพบช่องโหว่ด้านความปลอดภัยร้ายแรง CVE-2025-49113 ในเว็บเมลแบบโอเพ่นซอร์สที่ได้รับความนิยมในกลุ่มผู้ให้บริการโฮสติ้งและองค์กร ซึ่งมีการใช้งานอย่างแพร่หลายทั่วโลก รวมถึงในประเทศไทยด้วย ที่สำคัญคือเป็นช่องโหว่นี้มีอยู่มายาวนานกว่า 10 ปี แต่เพิ่งถูกค้นพบในปีนี้ มีคะแนนความรุนแรง CVSS สูงถึง 9.9 จาก 10

ส่งผลต่อ Roundcube ทุกเวอร์ชันก่อนหน้าและรวมถึง 1.6.10

ช่องโหว่นี้เกิดจากการที่ Roundcube ไม่ได้ตรวจสอบพารามิเตอร์ _from อย่างเหมาะสมในไฟล์ upload.php ซึ่งอยู่ใน program/actions/settings/ ส่งผลให้ผู้ใช้ที่ผ่านการยืนยันตัวตนแล้วสามารถดำเนินการทำ PHP Object Deserialization และนำไปสู่การรันโค้ดจากระยะไกลบนเซิร์ฟเวอร์ได้

ผลกระทบที่อาจเกิดขึ้นจากช่องโหว่นี้ มีหลายอย่าง เช่น การเข้าควบคุมระบบและขโมยข้อมูลอีเมล โดยแฮกเกอร์จะสามารถรันโค้ดอันตรายบนเซิร์ฟเวอร์ ทำให้สามารถควบคุมระบบอีเมลได้ทั้งหมด เช่นเดียวกับมีความเสี่ยงที่ข้อมูลอีเมลหรือข้อมูลผู้ใช้จะถูกขโมยหรือถูกดัดแปลง รวมถึงอีเมลเซิร์ฟเวอร์ขององค์กร ที่ถูกเล่นงานอาจถูกใช้เป็นฐานในการแพร่กระจายมัลแวร์หรือสแปมด้วย

ทั้งนี้ทาง Roundcube ได้ออกอัปเดตเวอร์ชัน 1.6.11 และ 1.5.10 เพื่อแก้ไขช่องโหว่นี้แล้ว ผู้ดูแลระบบต้องตรวจสอบและอัปเดต Roundcube เป็นเวอร์ชันล่าสุดทันที และควรจำกัดการเข้าถึงระบบอีเมลเฉพาะผู้ที่จำเป็น และตรวจสอบสิทธิ์การเข้าถึงอย่างสม่ำเสมอ

ที่มา thehackernews