La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el viernes dos fallas de seguridad que afectan al software de correo web Roundcube a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
Las vulnerabilidades en cuestión son las siguientes.
CVE-2025-49113 (puntuación CVSS: 9,9): vulnerabilidad de deserialización de datos no confiables que permite la ejecución remota de código por parte de usuarios autenticados porque el parámetro _from en la URL no está validado en programas/acciones/configuraciones/upload.php. (Corregido en junio de 2025) CVE-2025-68461 (puntuación CVSS: 7,2): vulnerabilidad de secuencias de comandos entre sitios a través de la etiqueta animada en documentos SVG. (revisado en diciembre de 2025)
La firma de ciberseguridad FearsOff, con sede en Dubai, a cuyo fundador y CEO Kirill Firsov se le atribuye el descubrimiento y reporte del CVE-2025-49113, dijo que los atacantes ya habían «explotado y convertido en arma la vulnerabilidad» dentro de las 48 horas posteriores a la divulgación de la falla. Posteriormente, un exploit que aprovecha esta vulnerabilidad estuvo disponible para la venta el 4 de junio de 2025.
Firsov también señaló que esta falla definitivamente puede activarse mediante instalaciones predeterminadas y ha estado oculta en el código base durante más de una década.
Los detalles sobre quién estuvo detrás de la explotación de los dos defectos de Roundcube no están claros. Sin embargo, múltiples vulnerabilidades en el software de correo electrónico han sido utilizadas como armas por actores de amenazas de estados-nación como APT28 y Winter Vivern.
Las agencias del Poder Ejecutivo Civil Federal (FCEB) deben remediar las vulnerabilidades identificadas antes del 13 de marzo de 2026 para proteger sus redes de las amenazas actuales.
Source link
