Se ha descubierto una grave vulnerabilidad de ejecución remota de código (RCE), identificada como CVE‑2025‑49113, en Roundcube Webmail. El fallo afecta a las versiones anteriores a la 1.5.10 y a las versiones 1.6.x anteriores a la 1.6.11. Un usuario autenticado puede aprovechar una validación incorrecta del parámetro _from en el archivo program/actions/settings/upload.php para ejecutar código arbitrario en el servidor. Existe una prueba de concepto (PoC) pública y se están produciendo ataques activos. Aproximadamente 84.000 instancias expuestas en internet resultan vulnerables.

Producto	Roundcube Webmail
Fecha	02-07-2025 10:12:50
Información	Solución disponible Explotación activa

Resumen técnico

El defecto deriva de la deserialización insegura por parte de Roundcube de datos controlados por el usuario enviados a través del parámetro _from; un atacante con credenciales válidas (por ejemplo, un usuario con bajos privilegios) puede enviar una solicitud POST especialmente creada a upload.php, inyectando un objeto PHP malicioso que conduce a la ejecución arbitraria de código en el servidor.

• Impacto del exploit: los atacantes pueden comprometer la confidencialidad, la integridad y la disponibilidad, propagándose potencialmente a otros sistemas. • Los escaneos de Shadowserver han identificado más de 84.000 hosts vulnerables entre los principales proveedores de nube y entornos de alojamiento.

Recomendaciones

1- Aplicar el parche inmediatamente: actualizar Roundcube a la versión 1.5.10 o 1.6.11. 2- Cambiar las contraseñas: actualizar las contraseñas de todos los usuarios de Roundcube para impedir accesos no autorizados. 3- Aplicar el principio de menor privilegio: asegurarse de que el usuario del servidor web (ej. www-data o nobody) tenga los permisos mínimos y evitar establecer permisos de escritura amplios (ej. 0777) en directorios sensibles. 4- Aplicar una validación de entrada: implementar una sanitización rigurosa en el parámetro _from (ej. permitir solo cadenas simples que correspondan a direcciones de correo electrónico o rutas internas). 5- Monitorizar los registros: comprobar regularmente los registros del servidor (ej. /var/log/litespeed/error.log) en busca de actividad sospechosa. 6- Deshabilitar las funcionalidades innecesarias: si es posible, deshabilitar la funcionalidad de carga de configuraciones si no es necesaria.

[Callforaction-THREAT-Footer]