Una vulnerabilidad de seguridad crítica identificada como CVE-2025-49113 continúa exponiendo a más de 84,925 instalaciones de Roundcube Webmail en todo el mundo, según revelan datos recientes de The Shadowserver Foundation. A pesar de que el parche correctivo se encuentra disponible desde hace varios meses, la mayoría de administradores no han implementado las actualizaciones necesarias, dejando sus sistemas expuestos a ataques maliciosos.
Una Falla de Décadas con Impacto Devastador
La vulnerabilidad CVE-2025-49113 ha recibido una puntuación CVSS de 9.9 sobre 10, clasificándola como crítica debido a su potencial destructivo. Lo más alarmante es que esta falla de seguridad ha permanecido oculta en el código de Roundcube Webmail durante más de una década, afectando todas las versiones desde la 1.1.0 hasta la 1.6.10.
Kirill Firsov, director ejecutivo de FearsOff y descubridor de la vulnerabilidad, decidió publicar los detalles técnicos en junio de 2025 después de que el exploit se hiciera público. La falla radica en la sanitización inadecuada del parámetro $_GET[‘_from’], lo que resulta en una deserialización peligrosa de objetos PHP que permite la ejecución remota de código.
Mecanismo de Explotación y Vectores de Ataque
El funcionamiento técnico de esta vulnerabilidad se basa en la manipulación de variables de sesión que comienzan con signos de exclamación, provocando una corrupción de sesión que facilita la inyección de objetos maliciosos. Aunque CVE-2025-49113 requiere autenticación para su explotación exitosa, los atacantes emplean múltiples estrategias para obtener credenciales válidas:
Los métodos más comunes incluyen la extracción de credenciales desde logs del sistema, ataques de fuerza bruta contra cuentas de usuario, y el uso de técnicas CSRF (Cross-Site Request Forgery) para comprometer sesiones activas. La situación se agrava considerablemente por la disponibilidad de exploits públicos en foros clandestinos y su adopción por parte del grupo cibercriminal UNC1151 en campañas de phishing dirigidas.
Distribución Global y Alcance de la Amenaza
Roundcube Webmail representa una de las soluciones de correo web más implementadas globalmente, utilizada por proveedores de hosting líderes como GoDaddy, Hostinger, Dreamhost y OVH. Su integración en paneles de control populares como cPanel y Plesk amplifica significativamente su superficie de ataque.
Los datos de telemetría revelan que existen más de 1.2 millones de instalaciones activas de Roundcube Webmail en internet. La distribución geográfica de sistemas vulnerables muestra una concentración notable en Estados Unidos con 19,500 instalaciones, seguido por India con 15,500, Alemania con 13,600, Francia con 3,600, Canadá con 3,500, y Reino Unido con 2,400 instalaciones expuestas.
Estrategias de Mitigación y Actualización Urgente
El parche oficial para CVE-2025-49113 fue liberado el 1 de junio de 2025. Los administradores de sistemas deben actualizar inmediatamente a las versiones seguras 1.6.11 o 1.5.10 para eliminar completamente la vulnerabilidad.
Para organizaciones que enfrentan restricciones técnicas que impiden la actualización inmediata, se recomienda implementar las siguientes medidas de protección temporal: configuración de reglas de firewall restrictivas para limitar el acceso al webmail, deshabilitación de funcionalidades de carga de archivos, implementación de protecciones anti-CSRF adicionales, bloqueo de funciones PHP potencialmente peligrosas, y establecimiento de monitoreo intensivo de logs del sistema para detectar indicadores de compromiso.
Implicaciones para la Seguridad Empresarial
Este incidente subraya la importancia crítica de mantener procesos rigurosos de gestión de vulnerabilidades y actualización de software. La persistencia de esta falla durante una década demuestra la necesidad de auditorías de seguridad más exhaustivas en código heredado de proyectos open source ampliamente adoptados.
Las organizaciones que dependen de Roundcube Webmail para operaciones críticas deben considerar la implementación de controles de seguridad en capas, incluyendo autenticación multifactor, segmentación de red, y respaldos regulares de datos. La explotación activa de esta vulnerabilidad por actores maliciosos exige acción inmediata de todos los administradores para prevenir compromisos de seguridad y filtración de información confidencial.
