São Paulo — InkDesign News — Uma vulnerabilidade crítica de execução remota de código no Roundcube webmail, identificada como CVE-2025-49113, tornou-se alvo de ataques, com códigos de prova de conceito (PoC) acessíveis, aumentando a urgência para atualizações de segurança.
Vetor de ataque
A falha é causada por uma sanitização inadequada do parâmetro $_GET[‘_from’] na funcionalidade de upload de imagem do Roundcube, permitindo que um atacante autenticado crie uma URL maliciosa. Essa URL explora o processo de reconstrução de objetos do PHP, resultando na execução de código arbitrário. Uma vez explorada, a vulnerabilidade pode proporcionar controle total sobre o servidor que hospeda a instância do Roundcube.
Impacto e resposta
Com uma pontuação CVSS de 9.9, essa vulnerabilidade critica um grande número de instâncias do Roundcube, com mais de 85.000 sistemas potencialmente vulneráveis em todo o mundo, segundo a ShadowServer foundation. Para mitigar essa ameaça, recomenda-se a atualização para as versões 1.6.11 ou 1.5.10, liberadas em 1º de junho após a divulgação do problema. Kirill Firsov, pesquisador de segurança, afirmou:
“A prioridade deve ser corrigir o problema imediatamente, se ainda não o fez.”
(“Patch immediately if you haven’t already.”)— Kirill Firsov, Pesquisador, Fearsoff
Análise e recomendações
Embora a CVE-2025-49113 seja tecnicamente uma vulnerabilidade pós-autenticação, a necessidade de credenciais válidas pode não ser uma barreira significativa em ambientes mal protegidos. Além disso, a combinação dessa vulnerabilidade com outras, como a CVE-2024-42009, pode resultar em cadeias de ataque altamente efetivas. Organizações devem observar a atividade de upload de arquivos e sinais de comprometimento relacionados a essa vulnerabilidade.
Stephen Kowski, CTO da SlashNext Email Security+, alertou que a popularidade do Roundcube entre escolas e provedores de hospedagem cria um grande número de sistemas desatualizados.
“Os atacantes vão atrás do Roundcube porque é amplamente utilizado, e muitos esquecem de mantê-lo atualizado.”
(“Attackers go after Roundcube because it’s used everywhere — schools, governments, even your favorite web hosts — and many people forget to keep it updated.”)— Stephen Kowski, CTO, SlashNext Email Security+
A rápida evolução da ameaça demanda atenção contínua e abordagens proativas para garantir a segurança das implementações do Roundcube.
Fonte: (Dark Reading – Segurança Cibernética)
