La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el viernes dos fallas de seguridad que afectan al software de correo web Roundcube a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
Las vulnerabilidades en cuestión se enumeran a continuación:
- CVE-2025-49113 (Puntuación CVSS: 9,9): una vulnerabilidad de deserialización de datos no confiables que permite la ejecución remota de código por parte de usuarios autenticados porque el parámetro _from en una URL no está validado en program/actions/settings/upload.php. (Corregido en junio de 2025)
- CVE-2025-68461 (Puntuación CVSS: 7,2): una vulnerabilidad de secuencias de comandos entre sitios a través de la fórmula animada en un documento SVG. (Corregido en diciembre de 2025)
La empresa de ciberseguridad FearsOff, con sede en Dubai, a cuyo fundador y director ejecutor, Kirill Firsov, se le atribuyó el descubrimiento y el referencia de CVE-2025-49113, dijo que los atacantes ya habían “diferenciado y armado la vulnerabilidad” internamente de las 48 horas posteriores a la divulgación pública de la error. Seguidamente, un exploit para la vulnerabilidad estuvo acondicionado para la liquidación el 4 de junio de 2025.
Firsov igualmente señaló que la deficiencia se puede activar de forma confiable en instalaciones predeterminadas y que había estado oculta en el código saco durante más de 10 primaveras.
No hay detalles sobre quién está detrás de la explotación de los dos defectos de Roundcube. Pero múltiples vulnerabilidades en el software de correo electrónico han sido utilizadas como armas por actores de amenazas de estados-nación como APT28 y Winter Vivern.
Las agencias del Poder Ejecutor Civil Federal (FCEB) deben remediar las vulnerabilidades identificadas antaño del 13 de marzo de 2026 para proteger sus redes contra la amenaza activa.
