CISA alerta sobre dos vulnerabilidades críticas en Roundcube
Publicado el
La Agencia de Seguridad Cibernética e Infraestructura de EE.UU. (CISA) ha incluido recientemente dos vulnerabilidades críticas que afectan al software de correo web Roundcube en su catálogo de Vulnerabilidades Conocidas Explotadas (KEV). Esta decisión se basa en evidencias que indican que estas fallas están siendo activamente explotadas.
Detalles de las vulnerabilidades
Las vulnerabilidades identificadas son:
- CVE-2025-49113 (puntuación CVSS: 9.9): Se trata de una vulnerabilidad de deserialización de datos no confiables que permite la ejecución remota de código por parte de usuarios autenticados. El problema radica en la falta de validación del parámetro _from en la URL dentro del script program/actions/settings/upload.php. Se espera que esta vulnerabilidad sea corregida en junio de 2025.
- CVE-2025-68461 (puntuación CVSS: 7.2): Esta es una vulnerabilidad de cross-site scripting (XSS) que se puede explotar a través de la etiqueta animate en un documento SVG. La solución para esta falla está prevista para diciembre de 2025.
Contexto de la explotación
La empresa de ciberseguridad con sede en Dubái, FearsOff, cuyo fundador, Kirill Firsov, fue el encargado de descubrir y reportar la CVE-2025-49113, ha afirmado que los atacantes han logrado "difuminar y armar la vulnerabilidad" en un plazo de 48 horas tras la divulgación pública del fallo. Un exploit para esta vulnerabilidad ya estaba disponible para la venta el 4 de junio de 2025.
Firsov también destacó que esta vulnerabilidad puede ser activada de manera confiable en instalaciones por defecto y que llevaba oculta en el código durante más de diez años.
Hasta el momento, no se han proporcionado detalles sobre los actores que están detrás de la explotación de estas fallas en Roundcube. Sin embargo, se ha documentado que varios actores de amenazas respaldados por estados, como APT28 y Winter Vivern, han utilizado múltiples vulnerabilidades en este software de correo electrónico.
Recomendaciones para las agencias
Las agencias del Federal Civilian Executive Branch (FCEB) tienen la obligación de remediar las vulnerabilidades identificadas antes del 13 de marzo de 2026 para asegurar sus redes frente a esta amenaza activa.
Es crucial que las organizaciones que utilizan Roundcube implementen medidas de seguridad y actualicen sus sistemas para mitigar los riesgos asociados a estas vulnerabilidades. La detección temprana y la respuesta adecuada son esenciales para salvaguardar la integridad de sus redes y datos.