CVE‑2025‑49113 – Vulnerabilidad de Ejecución Remota de Código en Roundcube Webmail

ISGroup Cybersecurity

Se ha descubierto una grave vulnerabilidad de ejecución remota de código (RCE), identificada como CVE‑2025‑49113, en Roundcube Webmail. El fallo afecta a las versiones anteriores a la 1.5.10 y a las versiones 1.6.x anteriores a la 1.6.11. Un usuario autenticado puede aprovechar una validación incorrecta del parámetro _from en el archivo program/actions/settings/upload.php para ejecutar código arbitrario en el servidor. Existe una prueba de concepto (PoC) pública y se están produciendo ataques activos. Aproximadamente 84.000 instancias expuestas en internet resultan vulnerables.

ProductoRoundcube Webmail
Fecha02-07-2025 10:12:50
Información
  • Solución disponible
  • Explotación activa

Resumen técnico

El defecto deriva de la deserialización insegura por parte de Roundcube de datos controlados por el usuario enviados a través del parámetro _from; un atacante con credenciales válidas (por ejemplo, un usuario con bajos privilegios) puede enviar una solicitud POST especialmente creada a upload.php, inyectando un objeto PHP malicioso que conduce a la ejecución arbitraria de código en el servidor.

• Impacto del exploit: los atacantes pueden comprometer la confidencialidad, la integridad y la disponibilidad, propagándose potencialmente a otros sistemas. • Los escaneos de Shadowserver han identificado más de 84.000 hosts vulnerables entre los principales proveedores de nube y entornos de alojamiento.

Recomendaciones

1- Aplicar el parche inmediatamente: actualizar Roundcube a la versión 1.5.10 o 1.6.11. 2- Cambiar las contraseñas: actualizar las contraseñas de todos los usuarios de Roundcube para impedir accesos no autorizados. 3- Aplicar el principio de menor privilegio: asegurarse de que el usuario del servidor web (ej. www-data o nobody) tenga los permisos mínimos y evitar establecer permisos de escritura amplios (ej. 0777) en directorios sensibles. 4- Aplicar una validación de entrada: implementar una sanitización rigurosa en el parámetro _from (ej. permitir solo cadenas simples que correspondan a direcciones de correo electrónico o rutas internas). 5- Monitorizar los registros: comprobar regularmente los registros del servidor (ej. /var/log/litespeed/error.log) en busca de actividad sospechosa. 6- Deshabilitar las funcionalidades innecesarias: si es posible, deshabilitar la funcionalidad de carga de configuraciones si no es necesaria.

[Callforaction-THREAT-Footer]