CVE-2025-49113 PoC — Roundcube Webmail 安全漏洞

Source

https://github.com/Zuack55/Roundcube-1.6.10-Post-Auth-RCE-CVE-2025-49113-

Associated Vulnerability

Title:Roundcube Webmail 安全漏洞 (CVE-2025-49113)
Description:Roundcube Webmail before 1.5.10 and 1.6.x before 1.6.11 allows remote code execution by authenticated users because the _from parameter in a URL is not validated in program/actions/settings/upload.php, leading to PHP Object Deserialization.

Readme

![Banner](./assets/banner.png)

# 🚨 Reporte de Vulnerabilidad: CVE-2025-49113 en Roundcube Webmail

> **⚠️ AVISO IMPORTANTE — USO RESPONSABLE**
>
> **Este material es únicamente para fines educativos y de investigación.**  
> Se prohíbe estrictamente el uso de la información y las herramientas aquí descritas para cualquier actividad **ilegal o maliciosa**.  
> El autor **no se hacen responsables** por el uso indebido de este contenido.

Este repositorio contiene un informe detallado sobre la vulnerabilidad CVE-2025-49113, una falla crítica de ejecución remota de código (RCE) por deserialización de objetos PHP que afecta a las versiones de Roundcube Webmail hasta la 1.6.10.

El propósito de este proyecto es servir como un recurso educativo y de investigación, demostrando cómo se puede identificar y explotar la vulnerabilidad en un entorno controlado.

## 📄 Documentación Completa
Para acceder a la información completa sobre esta vulnerabilidad, incluyendo el despliegue del servicio, los pasos de explotación con Metasploit Framework, y un análisis detallado, por favor, consulta el siguiente documento PDF:

File Snapshot

Remarks

1. It is advised to access via the original source first.

2. Local POC snapshots are reserved for subscribers — if the original source is unavailable, the local mirror is part of the paid plan.

View subscription plans →