Introducción
Se ha identificado una vulnerabilidad crítica en Roundcube Webmail que ha permanecido sin descubrir durante una década.
El fallo reside en el archivo upload.php, donde se permite la deserialización insegura de datos a través del parámetro oculto _from. Esto posibilita que un atacante autenticado ejecute código arbitrario en el servidor, comprometiendo su integridad.
Afectación
Requisitos mínimos:
Basta con poseer una cuenta válida (o credenciales robadas) en Roundcube.
Impacto:
Ejecución remota de código con los permisos del servidor web; desde ahí es trivial escalar privilegios o pivotar a otros sistemas.
Alcance temporal:
el código vulnerable existe desde al menos 2015, por lo que instalaciones legacy de Roundcube 1.0–1.6.10 son vulnerables.
Solución
Actualizar ya a 1.6.11 o 1.5.10 LTS y restringir el acceso administrativo. También se recomienda revisar los logs en busca de llamadas sospechosas a upload.php.
Mas información: roundcube.net
Fuente: Kirill Firsov
My research on CVE-2025-49113 is out. https://t.co/kuLczCSv6V. Happy reading! #CVE #roundcube #poc @FearsOff pic.twitter.com/p59xHaDo7S
— Kirill Firsov (@k_firsov) June 5, 2025
Otros contenidos que te pueden intersar:
Vulnerabilidad crítica en Synology BeeStation OS
Vulnerabilidades Veeam Backup & Replication
Apple ha lanzado parches de emergencia para corregir un fallo grave
Vulnerabilidad Zero-Day en WinRAR (CVE-2025-8088) – Explotación Activa
Log4Shell: La vulnerabilidad que sacudió el mundo de la ciberseguridad
Vulnerabilidades críticas en impresoras HP
