Pesquisadores de cibersegurança divulgaram detalhes de uma falha de segurança crítica no software de webmail Roundcube, que passou despercebida por uma década e poderia ser explorada para assumir o controle de sistemas suscetíveis e executar código arbitrário.
A vulnerabilidade, monitorada como
CVE-2025-49113
, recebeu uma pontuação CVSS de 9.9 em 10.0.
Foi descrita como um caso de execução de código remoto pós-autenticação via deserialização de objeto PHP.
"Roundcube Webmail antes da versão 1.5.10 e 1.6.x antes da 1.6.11 permite execução de código remoto por usuários autenticados porque o parâmetro _from em uma URL não é validado em program/actions/settings/upload.php, levando à Deserialização de Objeto PHP," lê-se na descrição da falha na Base de Dados Nacional de Vulnerabilidades (NVD) do NIST.
A deficiência, que afeta todas as versões do software antes e incluindo a 1.6.10, foi corrigida nas versões 1.6.11 e 1.5.10 LTS.
Kirill Firsov, fundador e CEO da FearsOff, foi creditado pela descoberta e relato da falha.
A empresa de cibersegurança com sede em Dubai notou em um breve comunicado que pretende tornar público detalhes técnicos adicionais e uma prova de conceito (PoC) "em breve", de modo a dar aos usuários tempo suficiente para aplicar as correções necessárias.
Vulnerabilidades de segurança previamente divulgadas no Roundcube têm sido alvos lucrativos para atores de ameaças de nações-estado como APT28 e Winter Vivern.
No ano passado, a Positive Technologies revelou que hackers não identificados tentaram explorar uma falha do Roundcube (
CVE-2024-37383
) como parte de um ataque de phishing projetado para roubar credenciais de usuários.
Então, algumas semanas atrás, a ESET observou que o APT28 havia explorado vulnerabilidades de cross-site scripting (XSS) em vários servidores de webmail, como Roundcube, Horde, MDaemon e Zimbra, para coletar dados confidenciais de contas de e-mail específicas pertencentes a entidades governamentais e empresas de defesa no Leste Europeu.
Atualização:
A Positive Technologies, em uma postagem publicada no X, disse que conseguiu reproduzir o
CVE-2025-49113
, instando os usuários a atualizarem para a versão mais recente do Roundcube o mais rápido possível.
"Essa vulnerabilidade permite que usuários autenticados executem comandos arbitrários via deserialização de objeto PHP", adicionou a empresa de cibersegurança russa.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...