La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) el viernes adicional dos fallas de seguridad que afectan al software de correo web Roundcube y sus vulnerabilidades conocidas explotadas ( KEV ), en el que se citan pruebas de explotación activa.
Las vulnerabilidades en cuestión se enumeran a continuación -
- CVE-2025-49113 (Puntuación CVSS: 9,9): vulnerabilidad de deserialización de datos no confiables que permite la ejecución remota de código por parte de usuarios autenticados porque el parámetro _from de una URL no está validado en program/actions/settings/upload.php. (Solucionado en junio de 2025 )
- CVE-2025-68461 (Puntuación CVSS: 7.2): una vulnerabilidad de secuencias de comandos entre sitios a través de la etiqueta animate de un documento SVG. (Corregido en diciembre de 2025 )
La empresa de ciberseguridad FearsOff, con sede en Dubái, a cuyo fundador y director ejecutivo, Kirill Firsov, se le atribuyó el descubrimiento y la denuncia del CVE-2025-49113, dijo que los atacantes ya» diferenció y convirtió en arma la vulnerabilidad «dentro de las 48 horas siguientes a la divulgación pública de la falla. Posteriormente, se explotó la vulnerabilidad puesto a disposición a la venta el 4 de junio de 2025.
Firsov también señaló que la deficiencia se puede activar de manera confiable en las instalaciones predeterminadas y que había estado oculta en el código base durante más de 10 años.
No hay detalles sobre quién está detrás de la explotación de las dos fallas de Roundcube. Sin embargo, se han producido múltiples vulnerabilidades en el software de correo electrónico armado por actores de amenazas de estados nacionales como APT28 y Winter Vivern.
Las agencias del Poder Ejecutivo Civil Federal (FCEB) deben remediar las vulnerabilidades identificadas antes del 13 de marzo de 2026, a fin de proteger sus redes contra la amenaza activa.
Post generado automáticamente, fuente oficial de la información: THEHACKERNEWS