(https://i.imgur.com/Z1WQ6oA.jpeg)
La Cybersecurity and Infrastructure Security Agency (CISA) ha incorporado dos fallos de seguridad que afectan al popular software de correo web Roundcube a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV). La decisión se produce tras confirmarse evidencia de explotación activa en entornos reales, lo que eleva el nivel de riesgo para organizaciones públicas y privadas que utilizan esta plataforma de webmail.
La inclusión en el catálogo KEV implica que las agencias federales del Poder Ejecutivo Civil (FCEB) deben aplicar medidas correctivas obligatorias antes del 13 de marzo de 2026, con el fin de mitigar posibles intrusiones y proteger infraestructuras críticas.
Vulnerabilidades de alto impacto en RoundcubeLos dos fallos añadidos al KEV son:- CVE-2025-49113 (CVSS 9.9) – Vulnerabilidad de deserialización de datos no confiables que permite ejecución remota de código (RCE) por usuarios autenticados. El problema radica en la falta de validación del parámetro _from en la URL dentro del archivo program/actions/settings/upload.php. Fue corregido en junio de 2025.
- CVE-2025-68461 (CVSS 7.2) – Vulnerabilidad de cross-site scripting (XSS) mediante la etiqueta animate en documentos SVG. Fue solucionada en diciembre de 2025.
El primer fallo es especialmente crítico debido a su capacidad de permitir ejecución remota de código con privilegios autenticados, lo que puede traducirse en compromiso total del servidor de correo electrónico.
Explotación rápida tras divulgación públicaLa firma de ciberseguridad con sede en Dubái FearsOff informó que los atacantes convirtieron CVE-2025-49113 en un exploit funcional en menos de 48 horas tras su divulgación pública.
Su fundador y CEO, Kirill Firsov, fue reconocido por descubrir y reportar la vulnerabilidad. Según Firsov, el fallo había permanecido oculto en la base de código durante más de una década y podía activarse de manera fiable en instalaciones predeterminadas.
El 4 de junio de 2025 se detectó la venta de un exploit listo para usar, lo que amplificó significativamente el riesgo para organizaciones que no habían aplicado el parche.
Riesgos asociados a CVE-2025-49113La vulnerabilidad de deserialización permite que un atacante manipule datos no confiables y los convierta en objetos ejecutables dentro del sistema. En escenarios prácticos, esto puede facilitar:
- Instalación de webshells.
- Robo de credenciales.
- Escalada de privilegios.
- Movimiento lateral dentro de la red corporativa.
En servidores de correo, el impacto es especialmente grave, ya que estos sistemas suelen almacenar información sensible, credenciales, archivos adjuntos confidenciales y datos estratégicos.
XSS en SVG: un vector subestimadoAunque CVE-2025-68461 presenta una puntuación CVSS inferior, el riesgo no debe subestimarse. La explotación de XSS a través de SVG puede permitir:
- Secuestro de sesiones.
- Inyección de scripts maliciosos.
- Redirecciones a sitios de phishing.
- Robo de tokens de autenticación.
En entornos donde Roundcube se utiliza como portal principal de acceso al correo corporativo, este tipo de vulnerabilidad puede convertirse en un punto de entrada inicial para ataques más complejos.
Actores estatales y precedentes de explotaciónSi bien CISA no ha atribuido públicamente la explotación actual a un grupo específico, múltiples vulnerabilidades en Roundcube han sido utilizadas históricamente por actores estatales avanzados.
Entre los grupos que han explotado fallos en plataformas de correo electrónico se encuentran:
Estos actores suelen utilizar servidores de correo vulnerables como punto inicial para campañas de espionaje, robo de información y compromisos estratégicos.
La inclusión en el KEV sugiere que el riesgo actual es significativo y que la explotación no es meramente teórica.
Obligaciones para agencias federalesLas agencias FCEB deben aplicar las correcciones necesarias antes del 13 de marzo de 2026. Este mandato forma parte de la Directiva Operacional Vinculante (BOD 22-01), que exige la remediación rápida de vulnerabilidades explotadas activamente.
Aunque la obligación es específica para agencias federales estadounidenses, la recomendación es extensible a cualquier organización que utilice Roundcube.
Medidas de mitigación recomendadasPara reducir el riesgo de explotación, se recomienda:
- Actualizar inmediatamente a la versión más reciente de Roundcube.
- Restringir el acceso administrativo mediante segmentación de red.
- Implementar autenticación multifactor (MFA).
- Supervisar logs en busca de actividad sospechosa en upload.php.
- Aplicar reglas WAF para bloquear patrones de explotación conocidos.
- Realizar análisis forense si se detecta actividad inusual.
Además, es aconsejable revisar configuraciones predeterminadas que puedan facilitar la explotación, especialmente en entornos heredados.
El correo web como superficie crítica de ataqueLos servidores de correo electrónico continúan siendo uno de los activos más atacados dentro de las organizaciones. Su exposición pública, combinada con el acceso a información sensible, los convierte en objetivos prioritarios.
La explotación activa de estas vulnerabilidades demuestra que los atacantes monitorean divulgaciones públicas y actúan con rapidez para desarrollar y comercializar exploits.
Actualización urgente y monitoreo continuoLa decisión de CISA de añadir CVE-2025-49113 y CVE-2025-68461 al catálogo KEV confirma la gravedad de la amenaza. La explotación activa, la disponibilidad de exploits comerciales y los antecedentes de uso por parte de actores estatales elevan el nivel de riesgo.
Las organizaciones que utilicen Roundcube deben tratar esta alerta como prioritaria. La actualización inmediata, la implementación de controles adicionales y el monitoreo continuo son esenciales para evitar compromisos que podrían derivar en brechas de datos, espionaje o despliegues de ransomware.
En un panorama de amenazas cada vez más dinámico, la gestión proactiva de vulnerabilidades ya no es opcional: es un requisito fundamental para mantener la resiliencia operativa y la seguridad de la información.
Fuente: https://thehackernews.com/