प्लेटफ़ॉर्म
roundcube
घटक
roundcube/roundcubemail
में ठीक किया गया
1.5.14
1.6.14
1.7-rc5
Roundcube Webmail में एक असुरक्षित क्रमबद्धता भेद्यता पाई गई है, जो संस्करण 1.7-rc4 और उससे पहले के संस्करणों में मौजूद है। यह भेद्यता हमलावरों को तैयार सत्र डेटा का उपयोग करके मनमाना फ़ाइलें लिखने की अनुमति दे सकती है, जिससे सिस्टम की सुरक्षा से समझौता हो सकता है। प्रभावित संस्करणों में Roundcube Webmail के 1.7-rc4 से पहले के सभी संस्करण शामिल हैं। इस समस्या को 1.7-rc5 में ठीक कर दिया गया है।
Roundcube Webmail के संस्करण 1.5.14 से पहले और 1.6.14 से पहले में CVE-2026-35537 भेद्यता Redis/Memcache सत्र हैंडलर में असुरक्षित क्रमबद्धता के कारण एक महत्वपूर्ण जोखिम पैदा करती है। एक गैर-प्रमाणित हमलावर इस भेद्यता का फायदा उठाकर सिस्टम पर मनमाना फ़ाइल लेखन संचालन कर सकता है। इससे महत्वपूर्ण फ़ाइलों में बदलाव या हटाना हो सकता है, जिससे मेल सर्वर की अखंडता का उल्लंघन हो सकता है और दुर्भावनापूर्ण कोड निष्पादित किया जा सकता है। इस भेद्यता की गंभीरता इस तथ्य में निहित है कि हमलावर इसे प्रमाणीकरण के बिना आसानी से शोषण कर सकता है, जिससे यह दुर्भावनापूर्ण अभिनेताओं के लिए एक आकर्षक लक्ष्य बन जाता है। शोषण के लिए प्रमाणीकरण की आवश्यकता न होने से जोखिम बढ़ जाता है, क्योंकि नेटवर्क एक्सेस रखने वाला कोई भी व्यक्ति इस कमजोरी का फायदा उठाने की कोशिश कर सकता है। इस जोखिम को कम करने के लिए सुरक्षा अद्यतन लागू करना महत्वपूर्ण है।
यह भेद्यता Redis/Memcache सिस्टम में दुर्भावनापूर्ण सत्र डेटा इंजेक्ट करके शोषण की जाती है। इस डेटा में क्रमबद्ध कोड होता है जो, जब Roundcube Webmail द्वारा क्रमबद्ध किया जाता है, तो हमलावर को सर्वर पर मनमाना कमांड निष्पादित करने की अनुमति देता है। क्रमबद्धता से पहले सत्र डेटा का सत्यापन न होना इस भेद्यता का मुख्य कारण है। एक हमलावर दुर्भावनापूर्ण डेटा युक्त एक सत्र बना सकता है और फिर Roundcube Webmail तक पहुंचने का प्रयास कर सकता है, जिससे क्रमबद्धता और दुर्भावनापूर्ण कोड का निष्पादन ट्रिगर होगा। इस शोषण के लिए प्रमाणीकरण की आवश्यकता नहीं होती है, जिससे हमला आसान हो जाता है। सर्वर कॉन्फ़िगरेशन और सुरक्षा में संभावित कमजोरियों की पहचान करने के लिए प्रवेश परीक्षण करने की सिफारिश की जाती है।
एक्सप्लॉइट स्थिति
EPSS
0.04% (12% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-35537 को संबोधित करने के लिए अनुशंसित समाधान Roundcube Webmail को संस्करण 1.5.14 या उच्चतर, या संस्करण 1.6.14 या उच्चतर में अपडेट करना है। संस्करण 1.7-rc5 में भी सुधार शामिल है। यह अद्यतन Redis/Memcache सत्र हैंडलर में असुरक्षित क्रमबद्धता को ठीक करता है, जिससे मनमाना फ़ाइल लेखन संचालन को रोका जा सकता है। अद्यतन के अलावा, Redis/Memcache सत्रों को उचित रूप से सुरक्षित और अलग करने के लिए सर्वर कॉन्फ़िगरेशन की समीक्षा करने की सिफारिश की जाती है। संदिग्ध गतिविधि के लिए सर्वर लॉग की निगरानी करने से संभावित शोषण प्रयासों का पता लगाने और उनका जवाब देने में भी मदद मिल सकती है। यदि तत्काल अद्यतन संभव नहीं है, तो अतिरिक्त सुरक्षा उपायों पर विचार करें, जैसे कि नेटवर्क एक्सेस को प्रतिबंधित करना और फ़ायरवॉल लागू करना।
Actualice Roundcube Webmail a la versión 1.6.14 o superior para mitigar la vulnerabilidad de deserialización insegura. Esta actualización corrige la falla que permite a atacantes no autenticados realizar operaciones de escritura de archivos arbitrarios a través de datos de sesión manipulados.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
1.5.14 से पहले और 1.6.14 से पहले के संस्करण इस भेद्यता के प्रति संवेदनशील हैं।
आप जिस Roundcube Webmail संस्करण का उपयोग कर रहे हैं, उसे जांचें। यदि यह उल्लिखित संस्करणों से पुराना है, तो यह भेद्य है।
असुरक्षित क्रमबद्धता तब होती है जब क्रमबद्ध डेटा को उचित सत्यापन के बिना क्रमबद्ध किया जाता है, जिससे हमलावर को दुर्भावनापूर्ण कोड इंजेक्ट करने की अनुमति मिलती है।
नेटवर्क एक्सेस को प्रतिबंधित करें, फ़ायरवॉल लागू करें और सर्वर लॉग की निगरानी करें।
वर्तमान में कोई विशिष्ट उपकरण नहीं है, लेकिन प्रवेश परीक्षण भेद्यता की पहचान करने में मदद कर सकता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।