Webmail

Die Schwachstelle steckt in der Webmail-Anwendung Roundcube, mit der Nutzer ihre E-Mails über den Browser abrufen. Der Defekt sitzt im Code, der das Hochladen in den Einstellungen verarbeitet: Ein über die URL übergebener Parameter mit der Bezeichnung _from wird dort nicht ausreichend geprüft. Dadurch lässt sich dem Server ein präpariertes, serialisiertes PHP-Objekt unterschieben, das beim Einlesen (Deserialisierung nicht vertrauenswürdiger Daten) verarbeitet wird. Ein Angreifer kann auf diesem Weg eigenen Programmcode auf dem Server zur Ausführung bringen und so die Anwendung übernehmen. Voraussetzung ist allerdings, dass der Angreifer bereits angemeldet ist – die Lücke lässt sich nur durch authentifizierte Nutzer ausnutzen, etwa mit einem gekaperten oder regulären Konto. Betroffen sind die selbst betriebenen Roundcube-Installationen, wie sie von vielen Hosting-Anbietern und Organisationen für ihren E-Mail-Zugang eingesetzt werden.