La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el viernes dos fallas de seguridad que afectan al software de correo web Roundcube a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
Las vulnerabilidades en cuestión se enumeran a continuación:
- CVE-2025-49113 (Puntuación CVSS: 9,9): una vulnerabilidad de deserialización de datos no confiables que permite la ejecución remota de código por parte de usuarios autenticados porque el parámetro _from en una URL no está validado en program/actions/settings/upload.php. (Corregido en junio de 2025)
- CVE-2025-68461 (Puntuación CVSS: 7,2): una vulnerabilidad de secuencias de comandos entre sitios a través de la etiqueta animada en un documento SVG. (Corregido en diciembre de 2025)
La empresa de ciberseguridad FearsOff, con sede en Dubai, a cuyo fundador y director ejecutivo, Kirill Firsov, se le atribuyó el descubrimiento y el informe de CVE-2025-49113, dijo que los atacantes ya habían «diferenciado y armado la vulnerabilidad» dentro de las 48 horas posteriores a la divulgación pública de la falla. Posteriormente, un exploit para la vulnerabilidad estuvo disponible para la venta el 4 de junio de 2025.
Firsov también señaló que la deficiencia se puede activar de manera confiable en instalaciones predeterminadas y que había estado oculta en el código base durante más de 10 años.
No hay detalles sobre quién está detrás de la explotación de los dos defectos de Roundcube. Pero múltiples vulnerabilidades en el software de correo electrónico han sido utilizadas como armas por actores de amenazas de estados-nación como APT28 y Winter Vivern.
Las agencias del Poder Ejecutivo Civil Federal (FCEB) deben remediar las vulnerabilidades identificadas antes del 13 de marzo de 2026 para proteger sus redes contra la amenaza activa.