Investigadores de ciberseguridad han revelado detalles de una
falla de seguridad crítica en el software de correo web Roundcube, que ha pasado desapercibida durante una década y podría explotarse para
controlar sistemas vulnerables y ejecutar código arbitrario.
La vulnerabilidad, identificada como
CVE-2025-49113,
tiene una puntuación CVSS de 9,9 sobre 10. Se ha descrito como un caso de
ejecución remota de código mediante la deserialización de objetos PHP y luego
de la autenticación del usuario. «Roundcube Webmail en versiones anteriores a la 1.5.10 y 1.6.x en versiones
anteriores a la 1.6.11 permite la ejecución remota de código por parte de
usuarios autenticados porque el parámetro _from de una URL no está validado
en program/actions/settings/upload.php, lo que provoca la deserialización de
objetos PHP».
La falla, que
afecta a todas las versiones del software anteriores a la 1.6.10
inclusive, se
ha solucionado
en las
versiones 1.6.11 y 1.5.10 LTS.
Kirill Firsov, fundador y director ejecutivo de FearsOff, es reconocido por descubrir y
reportar la falla. La empresa de ciberseguridad con sede en Dubái indicó en un
breve aviso
que publicó detalles técnicos adicionales y una prueba de concepto (PoC) en un
video.
Las vulnerabilidades de seguridad previamente reveladas en Roundcube han sido
un objetivo lucrativo para actores de amenazas estatales como APT28 y Winter
Vivern. El año pasado, Positive Technologies
reveló
que atacantes no identificados intentaron explotar una falla de Roundcube
(CVE-2024-37383) como parte de un ataque de phishing diseñado para robar
credenciales de usuario.
Hace un par de semanas,
ESET detectó que APT28
había aprovechado vulnerabilidades de secuencias de comandos entre sitios
(XSS) en varios servidores de correo web como Roundcube, Horde, MDaemon y
Zimbra para recopilar datos confidenciales de cuentas de correo electrónico
específicas pertenecientes a entidades gubernamentales y empresas de defensa
en Europa del Este.
Positive Technologies, en una
publicación en X, afirmó haber logrado reproducir la vulnerabilidad CVE-2025-49113 e instó a
los usuarios a actualizar a la última versión de Roundcube lo antes posible.
«Esta vulnerabilidad permite a los usuarios autenticados ejecutar comandos
arbitrarios a través de la deserialización de objetos PHP», añadió la empresa rusa de ciberseguridad.
Fuente:
THN