Los investigadores de ciberseguridad han revelado detalles de una falla de seguridad crítica en el software RoundCube WebMail que ha pasado desapercibido durante una década y podría ser explotado para hacerse cargo de los sistemas susceptibles y ejecutar código arbitrario.
La vulnerabilidad, rastreada como CVE-2025-49113lleva un puntaje CVSS de 9.9 de 10.0. Se ha descrito como un caso de ejecución de código remoto post-autorenticado a través de la deserialización del objeto PHP.
«RoundCube WebMail antes de 1.5.10 y 1.6.x antes de 1.6.11 permite la ejecución del código remoto por parte de usuarios autenticados porque el parámetro _From en una URL no está validada en el programa/Acciones/Configuración/ujera.
La deficiencia, que afecta todas las versiones del software antes e incluyendo 1.6.10, se ha abordado en 1.6.11 y 1.5.10 LTS. Kirill Firsov, fundador y CEO de Fearsoff, ha sido acreditado por descubrir e informar el defecto.
La compañía de seguridad cibernética con sede en Dubai señaló en una breve aviso que tiene la intención de hacer que los detalles técnicos adicionales públicos y una prueba de concepto (POC) «pronto» para dar a los usuarios el tiempo suficiente para aplicar los parches necesarios.
https://www.youtube.com/watch?v=tbktbmjwhjy
Las vulnerabilidades de seguridad previamente reveladas en RoundCube han sido un objetivo lucrativo para los actores de amenaza de estado-nación como Apt28 y Winter Vivern. El año pasado, Positive Technologies reveló que los piratas informáticos no identificados intentaron explotar una falla RoundCube (CVE-2024-37383) como parte de un ataque de phishing diseñado para robar credenciales de los usuarios.
Luego, hace un par de semanas, ESET señaló que APT28 había aprovechado las vulnerabilidades de secuencias de comandos de sitios cruzados (XSS) en varios servidores de correo web, como RoundCube, Horde, Mdaemon y Zimbra para cosechar datos confidenciales de cuentas de correo electrónico específicas que pertenecen a entidades gubernamentales y compañías de defensa en el este de Europa.