Vulnerabilidad crítica en Roundcube 2025
Vulnerabilidad Crítica - 3 de junio
Introducción
La CVE-2025-49113 es una vulnerabilidad crítica de ejecución remota de código (RCE) que afecta a Roundcube, una aplicación de correo web utilizada en numerosos entornos de hosting y servidores de correo. Esta falla permite a usuarios autenticados ejecutar código malicioso en el servidor, comprometiendo la seguridad del sistema.
Análisis
CVE-2025-49113- CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H - 9.9
CVE-2025-49113 se encuentra en el script upload.php
, localizado dentro de la ruta program/actions/settings/
, que se encarga de manejar cargas de archivos relacionadas con configuraciones del usuario. En este archivo, el parámetro _from
que se pasa a través de la URL no es validado adecuadamente, lo que abre la posibilidad a un tipo de ataque conocido como "unsafe object deserialization" en PHP.
Versiones afectadas
- Todas las versiones del software anteriores a la 1.6.10 inclusive
Recomendaciones
- Actualizar la aplicación
Workarounds
No hay workarounds disponibles para esta vulnerabilidad.