Error crítico de Roundcube permite a usuarios autenticados ejecutar código malicioso (10 años de antigüedad)

Investigadores de ciberseguridad han revelado detalles de una falla de seguridad crítica en el software de correo web Roundcube, que ha pasado desapercibida durante una década y podría explotarse para controlar sistemas vulnerables y ejecutar código arbitrario.

Roundcube es una de las soluciones de correo web más populares, ya que el producto está incluido en las ofertas de proveedores de hosting reconocidos como GoDaddy, Hostinger, Dreamhost u OVH.

La vulnerabilidad, identificada como CVE-2025-49113, tiene una puntuación CVSS de 9,9 sobre 10. Se ha descrito como un caso de ejecución remota de código mediante la deserialización de objetos PHP y luego de la autenticación del usuario. "Roundcube Webmail en versiones anteriores a la 1.5.10 y 1.6.x en versiones anteriores a la 1.6.11 permite la ejecución remota de código por parte de usuarios autenticados porque el parámetro _from de una URL no está validado en program/actions/settings/upload.php, lo que provoca la deserialización de objetos PHP".

La falla, que afecta a todas las versiones del software anteriores a la 1.6.10 inclusive, se ha solucionado en las versiones 1.6.11 y 1.5.10 LTS. Kirill Firsov, fundador y director ejecutivo de FearsOff, es reconocido por descubrir y reportar la falla. La empresa de ciberseguridad con sede en Dubái indicó en un breve aviso que publicó detalles técnicos adicionales y una prueba de concepto (PoC) en un video.

Los atacantes solo tardaron un par de días en aplicar ingeniería inversa a la solución, aprovechar la vulnerabilidad y empezar a vender un exploit funcional en al menos un foro. Las vulnerabilidades de seguridad previamente reveladas en Roundcube han sido un objetivo lucrativo para actores de amenazas estatales como APT28 y Winter Vivern. El año pasado, Positive Technologies reveló que atacantes no identificados intentaron explotar una falla de Roundcube (CVE-2024-37383) como parte de un ataque de phishing diseñado para robar credenciales de usuario.

Hace un par de semanas, ESET detectó que APT28 había aprovechado vulnerabilidades de secuencias de comandos entre sitios (XSS) en varios servidores de correo web como Roundcube, Horde, MDaemon y Zimbra para recopilar datos confidenciales de cuentas de correo electrónico específicas pertenecientes a entidades gubernamentales y empresas de defensa en Europa del Este.

Positive Technologies, en una publicación en X, afirmó haber logrado reproducir la vulnerabilidad CVE-2025-49113 e instó a los usuarios a actualizar a la última versión de Roundcube lo antes posible.

"Esta vulnerabilidad permite a los usuarios autenticados ejecutar comandos arbitrarios a través de la deserialización de objetos PHP", añadió la empresa rusa de ciberseguridad.

Fuente: THN