Los investigadores de ciberseguridad desapercibidos durante 10 años, descubiertos, han revelado detalles de fallas de seguridad críticas en el software RoundCube WebMail que puede explotarse para llevar a cabo el sistema de sensibilidad y ejecutar código arbitrario.
La vulnerabilidad rastreada como CVE-2025-49113 tiene una puntuación CVSS de 9.9 de 10.0. Esto se describe como un ejemplo de ejecución prominente del código remoto a través del descenso de los objetos PHP.
«El correo web de Cube Round antes de 1.5.10 y 1.6.x antes de 1.5.10 y 1.6.x permite la ejecución de código remoto por parte de usuarios autenticados como el parámetro de la URL no se verifica en el programa/Action/Settings/upc.php, lo que lleva a la desinteroción de objetos PHP», lee una descripción de la falla en la datubra de vulnerabilidad nacional de NIST (NVD).
Los inconvenientes que afectan todas las versiones del software, incluido 1.6.10, se abordan en 1.6.11 y 1.5.10 LTS. Se reconoce que Kirill Firsov, fundador y CEO de Fearsoff, descubrió y informó el defecto.
La compañía de ciberseguridad con sede en Dubai simplemente ha recomendado que tenga la intención de «pronto» los detalles técnicos publicados y «POC) para dar a los usuarios mucho tiempo para aplicar los parches necesarios.
Las vulnerabilidades de seguridad previamente reveladas en el Cubo Round fueron los objetivos favorables de los actores de amenaza de estado-nación como APT28 y Winter Vivern. El año pasado, Positive Technology reveló que intentó explotar un defecto en el cubo redondo (CVE-2024-37383) como parte de un ataque de phishing diseñado para robar credenciales de los usuarios.
Luego, hace unas semanas, ESET señaló que APT28 explotó las vulnerabilidades de secuencias de comandos de sitios cruzados (XSS) en varios servidores de correo web como RoundCube, Horde, Mdaemon y Zimbra para recopilar datos confidenciales de cuentas de correo electrónico específicas que pertenecen a las empresas gubernamentales y compañías de defensa en el este de Europa.
Source link
