Ejecución de código remoto en Webmail de Roundcube

Fecha de publicación 09/06/2025

Identificador

INICBE-2025-0303

Importancia

5 - Crítica

Recursos Afectados

Esta vulnerabilidad afecta a las versiones 1.1.0 a 1.6.10 de Roundcube, incluidas las instalaciones predeterminadas en cPanel, Plesk, ISPConfig y otras.

Descripción

Kirill Firsov ha informado sobre una vulnerabilidad de severidad crítica que podría permitir a un atacante ejecutar código de forma remota.

Existe constancia de que la vulnerabilidad se está explotando de forma activa.

Solución

Se recomienda actualizar a las versiones:

1.6.11 (última versión estable)
1.5.10 (LTS)

Detalle

La vulnerabilidad de severidad crítica permite la ejecución remota de código por parte de usuarios autenticados, ya que el parámetro _from en una URL no está validado en program/actions/settings/upload.php, lo que lleva a la deserialización de objetos PHP.

Se ha asignado el identificador CVE-2025-49113 para esta vulnerabilidad.

Listado de referencias

Roundcube ≤ 1.6.10 Post-Auth RCE via PHP Object Deserialization [CVE-2025-49113]

Security updates 1.6.11 and 1.5.10 released

Etiquetas