Vulnerabilidad Crítica en Roundcube

Ejecución Remota de Código (RCE) que afecta a millones de servidores de correo web a nivel mundial.

Puntuación CVSS v3.1

9.9

CRÍTICA

Vector de Ataque

Vector: Red (AV:N)

Complejidad: Baja (AC:L)

Privilegios: Bajos (PR:L)

Interacción Usuario: Ninguna (UI:N)

Antigüedad de la Falla

>10

años sin ser detectada

Presente en el código base desde aprox. 2014

¿Qué es CVE-2025-49113?

Esta sección introduce la vulnerabilidad, explicando su naturaleza y por qué representa un riesgo tan elevado. CVE-2025-49113 es una falla de seguridad crítica en el popular software de correo web Roundcube. Permite a un atacante que ha conseguido acceso a una cuenta de usuario (autenticado) ejecutar código arbitrario en el servidor. El problema fundamental es una deserialización insegura de objetos PHP, una clase de vulnerabilidad de alto impacto. Dada la popularidad de Roundcube, especialmente en entornos de hosting compartido, el potencial de compromiso a gran escala es inmenso.

Impacto y Alcance Global

El impacto de esta vulnerabilidad va más allá de un solo servidor; afecta a un ecosistema masivo. Aquí visualizamos el alcance del problema y cómo afecta a los pilares de la seguridad de la información. La explotación exitosa puede llevar al compromiso total del sistema, la exfiltración de todos los correos electrónicos, la instalación de malware y el uso del servidor para lanzar otros ataques.

Compromiso de la Tríada CIA

La explotación compromete totalmente la Confidencialidad, Integridad y Disponibilidad del sistema.

Hosts Potencialmente Afectados

0

Instalaciones estimadas a nivel mundial

Comúnmente incluido en cPanel, Plesk, y otros.

Análisis Técnico Profundo

Para entender cómo mitigar un riesgo, primero debemos comprender su funcionamiento. Esta sección desglosa los aspectos técnicos de la vulnerabilidad en un formato interactivo. Exploraremos la causa raíz del problema, las versiones específicas del software que son vulnerables y el método que un atacante utilizaría para explotar la falla. Navegue por las pestañas para explorar cada aspecto en detalle.

Deserialización Insegura de Objetos PHP

El problema reside en el script program/actions/settings/upload.php. El parámetro _from en la URL no se valida correctamente. Un atacante puede inyectar un objeto PHP serializado y malicioso en este parámetro. Cuando la aplicación procesa esta entrada, la deserializa sin verificarla, lo que lleva a la ejecución de código arbitrario en el servidor.

El mecanismo exacto implica la manipulación de la sesión del usuario, lo que permite eludir las protecciones habituales de los Web Application Firewalls (WAFs).

Panorama de la Amenaza Actual

Evaluar el riesgo no solo implica conocer la vulnerabilidad, sino también si los atacantes la están utilizando activamente. Esta sección proporciona inteligencia de amenazas actualizada, incluyendo si existen exploits públicos y cuál es la probabilidad de explotación. La rápida publicación de una Prueba de Concepto (PoC) y los informes de explotación activa elevan la urgencia de esta amenaza.

Estado de Explotación

Explotación Activa

Reportada en foros clandestinos.

Prueba de Concepto (PoC)

Pública

Liberada por el descubridor (FearsOff).

Probabilidad de Explotación (EPSS)

0.0%

Percentil ~70 (más probable que 2/3 de las vulnerabilidades).

Remediación y Mitigación

La acción es la parte más crítica de la ciberseguridad. Esta sección proporciona los pasos concretos y las mejores prácticas para proteger sus sistemas contra CVE-2025-49113. La principal medida es la actualización inmediata del software. Además, ofrecemos una tabla interactiva para que pueda encontrar fácilmente los avisos de seguridad de los proveedores de software más comunes que incluyen Roundcube.

Acción Principal

Actualizar Inmediatamente

A una de las siguientes versiones parcheadas:

Estable: 1.6.11

LTS: 1.5.10

Mejores Prácticas

  • Activar Autenticación Multifactor (MFA).
  • Monitorizar actividad de carga de archivos y sesiones.
  • Restringir acceso a la red del webmail.
  • Realizar copias de seguridad regulares.

Avisos de Proveedores

Proveedor Estado Acción / Versión