La agencia estadounidense CISA ha incluido dos vulnerabilidades de Roundcube Webmail en su catálogo de fallos explotados (KEV), señalando que ya se están usando en ataques reales. Afectan a un RCE post-autenticación (CVE-2025-49113) y a un XSS (CVE-2025-68461).
Roundcube, uno de los clientes de correo web más extendidos en entornos de hosting y administración de servidores, vuelve a situarse en el foco tras un aviso de CISA: dos vulnerabilidades recientemente corregidas han pasado a considerarse explotadas activamente. Aunque el organismo no ha publicado detalles técnicos de las campañas (tácticas, indicadores o actores), el hecho de que entren en el catálogo Known Exploited Vulnerabilities (KEV) suele indicar evidencia operativa suficiente como para elevar la prioridad de actualización.
La primera es CVE-2025-49113, un fallo crítico que permite ejecución remota de código (RCE) por parte de un usuario ya autenticado. El problema se relaciona con una deserialización insegura al no validarse correctamente un parámetro en un flujo asociado a carga/gestión de ajustes, lo que abre la puerta a inyectar objetos manipulados y terminar ejecutando código en el servidor. Roundcube publicó correcciones el 1 de junio de 2025 en las ramas LTS, recomendando actualizar a 1.6.11 y 1.5.10.
La segunda, CVE-2025-68461, es una vulnerabilidad de cross-site scripting (XSS) vinculada al tratamiento de SVG: un atacante remoto puede abusar de la etiqueta animate dentro de documentos SVG para forzar la ejecución de JavaScript en el contexto del usuario víctima. Aunque XSS suele asociarse a robo de sesión o manipulación de interfaz, en plataformas de correo web el impacto puede escalar: desde secuestro de cuentas y acceso a buzones, hasta movimientos laterales si se reutilizan credenciales o se capturan tokens. Roundcube corrigió este fallo en diciembre de 2025 con las versiones 1.6.12 y 1.5.12, indicando expresamente el riesgo y recomendando actualizar instalaciones productivas.
Según los registros públicos del NVD (que refleja la actualización KEV de CISA), ambas CVE se añadieron el 20 de febrero de 2026 y el plazo de remediación para organismos federales queda fijado en el 13 de marzo de 2026, con la acción requerida de aplicar mitigaciones del fabricante o, si no fuera posible, discontinuar el uso del producto. Aunque ese mandato aplica a agencias estadounidenses, es una señal clara para cualquier organización que exponga Roundcube a Internet o lo use en entornos sensibles: cuando hay explotación real, el “parchear cuanto antes” deja de ser una recomendación genérica y pasa a ser una urgencia operativa.
Más información
CISA: Recently patched RoundCube flaws now exploited in attacks (BleepingComputer)
https://www.bleepingcomputer.com/news/security/cisa-recently-patched-roundcube-flaws-now-exploited-in-attacks/
CVE-2025-49113
https://nvd.nist.gov/vuln/detail/CVE-2025-49113
CVE-2025-68461
https://nvd.nist.gov/vuln/detail/CVE-2025-68461
Roundcube: Security updates 1.6.11 and 1.5.10 released
https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10
Roundcube: Security updates 1.6.12 and 1.5.12 released
https://roundcube.net/news/2025/12/13/security-updates-1.6.12-and-1.5.12
INCIBE-CERT: Vulnerabilidad en Roundcube Webmail (CVE-2025-49113)
https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2025-49113
Deja una respuesta