Introducción
Se ha identificado una vulnerabilidad crítica en Roundcube Webmail que ha permanecido sin descubrir durante una década.
El fallo reside en el archivo upload.php, donde se permite la deserialización insegura de datos a través del parámetro oculto _from. Esto posibilita que un atacante autenticado ejecute código arbitrario en el servidor, comprometiendo su integridad.
Afectación
Requisitos mínimos:
Basta con poseer una cuenta válida (o credenciales robadas) en Roundcube.
Impacto:
Ejecución remota de código con los permisos del servidor web; desde ahí es trivial escalar privilegios o pivotar a otros sistemas.
Alcance temporal:
el código vulnerable existe desde al menos 2015, por lo que instalaciones legacy de Roundcube 1.0–1.6.10 son vulnerables.
Solución
Actualizar ya a 1.6.11 o 1.5.10 LTS y restringir el acceso administrativo. También se recomienda revisar los logs en busca de llamadas sospechosas a upload.php.
Mas información: roundcube.net
Fuente: Kirill Firsov
My research on CVE-2025-49113 is out. https://t.co/kuLczCSv6V. Happy reading! #CVE #roundcube #poc @FearsOff pic.twitter.com/p59xHaDo7S
— Kirill Firsov (@k_firsov) June 5, 2025
