Blog Blog

Roundcube Webmail: 2 CVEs explotados.

February 23, 2026
Nestor Martin Guerra Garcia (Dr.Plaga)
Noticias
Roundcube Webmail: 2 CVEs explotados.

Resumen ejecutivo (CEO)

CISA marcó dos fallas en Roundcube Webmail como activamente explotadas y ordenó remediación para organismos federales en 3 semanas (vencimiento 13/03/2026). Las vulnerabilidades son:

  • CVE-2025-49113: RCE (requiere usuario autenticado) vía PHP Object Deserialization; arreglado en 1.5.10 y 1.6.11.
  • CVE-2025-68461: XSS vía tag animate en SVG; arreglado en 1.5.12 y 1.6.12.

Qué pasó

CISA no detalló públicamente los ataques, pero sí confirmó explotación activa y el requerimiento de aplicar mitigaciones o discontinuar el producto si no hay mitigación disponible.
En paralelo, se recuerda el contexto: Roundcube es muy común en hosting (cPanel) y hay decenas de miles de instancias expuestas en Internet.

Detalle técnico mínimo (lo que necesitás saber)

  • CVE-2025-49113 (RCE): afecta Roundcube antes de 1.5.10 y 1.6.x antes de 1.6.11, por validación insuficiente que termina en deserialización peligrosa. CVSS: NVD lo muestra 8.8 (High) y CNA 9.9 (Critical).
  • CVE-2025-68461 (XSS): afecta Roundcube antes de 1.5.12 y 1.6 antes de 1.6.12. CVSS: NVD 6.1 y CNA 7.2.
  • Ambos figuran como parte del KEV (Date Added 20/02/2026, Due Date 13/03/2026).

Qué hacer hoy (sin vueltas)

Actualizar Roundcube ya:

  • mínimo a 1.6.12 / 1.5.12 (cubre ambos CVEs en ramas actuales/legacy).

Si no podés actualizar (mal, pero pasa):

  • restringí acceso (VPN/allowlist), y reducí superficie (nada expuesto directo a Internet si podés evitarlo).

Revisar autenticación y abuso de cuentas:

  • el RCE requiere usuario autenticado, así que credenciales robadas en hosting = puerta de entrada.

Hunting básico:

  • logs del webserver/roundcube por patrones raros de uploads y actividad anómala en cuentas, y chequeo de integridad (archivos nuevos o modificados). (No hay magia: es mirar lo que nadie mira hasta que explota.)

Lo que NO sabemos

No hay cifra pública “cuántas instancias vulnerables” a estos dos CVEs en particular, aunque se reporta exposición masiva general de Roundcube.

Hashtags:
#DrPlaga.sh #Roundcube #KEV #CISA #CVE #Webmail #PatchManagement #RCE #XSS #BlueTeam

Nestor Martin Guerra Garcia (Dr.Plaga)

Nestor Martin Guerra Garcia (Dr.Plaga)

Threat intelligence | Protección de Datos y Gestión de Riesgos | Old school
Volver al blog