A agência norte-americana U.S.
Cybersecurity and Infrastructure Security Agency (CISA) adicionou, na última sexta-feira, duas vulnerabilidades que afetam o software de webmail Roundcube ao seu catálogo Known Exploited Vulnerabilities (KEV), após evidências de exploração ativa dessas falhas.
As vulnerabilidades são:
-
CVE-2025-49113
(CVSS 9.9): vulnerabilidade de desserialização de dados não confiáveis que permite execução remota de código por usuários autenticados.
O problema ocorre porque o parâmetro _from em uma URL não é validado no arquivo program/actions/settings/upload.php.
A falha foi corrigida em junho de 2025.
-
CVE-2025-68461
(CVSS 7.2): vulnerabilidade de cross-site scripting (XSS) explorável por meio da tag animate em documentos SVG.
A correção foi aplicada em dezembro de 2025.
A FearsOff, empresa de cibersegurança com sede em Dubai, informou que seu fundador e CEO, Kirill Firsov, descobriu e reportou a
CVE-2025-49113
.
Segundo Firsov, atacantes já "analisaram e transformaram a vulnerabilidade em exploit" em até 48 horas após a divulgação pública.
Um exploit dessa falha foi colocado à venda em 4 de junho de 2025.
Ele também destacou que a vulnerabilidade pode ser explorada facilmente em instalações padrão do Roundcube e estava presente no código-fonte por mais de 10 anos antes de ser identificada.
Até o momento, não há informações sobre os responsáveis pela exploração dessas duas falhas.
Contudo, versões anteriores do Roundcube já foram alvos de grupos patrocinados por estados-nação, como APT28 e Winter Vivern.
As agências do Federal Civilian Executive Branch (FCEB) dos EUA têm até 13 de março de 2026 para corrigir essas vulnerabilidades e proteger suas redes contra as ameaças ativas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...