CISA integra fallos críticos de Roundcube en su catálogo de vulnerabilidades activamente explotadas

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una alerta urgente tras la inclusión de dos vulnerabilidades críticas que afectan al software de correo web Roundcube en su catálogo de Vulnerabilidades Explotadas Conocidas (KEV). La decisión se basa en evidencia irrefutable de que actores maliciosos están utilizando activamente estos fallos para comprometer sistemas a nivel global.

Las vulnerabilidades bajo la lupa

Los fallos técnicos, que ya cuentan con parches de seguridad, representan un riesgo significativo para las organizaciones que aún no han actualizado sus servicios de correo:

1. CVE-2025-49113 (Puntuación CVSS: 9.9 - Crítica): Se trata de una vulnerabilidad de deserialización de datos no confiables. Permite a usuarios autenticados ejecutar código de forma remota (RCE) debido a una validación insuficiente en el parámetro _from dentro del archivo upload.php. Según reportes de la firma de ciberseguridad FearsOff, este fallo estuvo oculto en el código fuente de Roundcube por más de una vez década antes de ser descubierto.

2. CVE-2025-68461 (Puntuación CVSS: 7.2 - Alta): Un fallo de Cross-Site Scripting (XSS) que puede activarse mediante etiquetas animate en documentos SVG. Este tipo de ataques permite a los delincuentes inyectar scripts maliciosos en las sesiones de los usuarios.

Origen y explotación: La fuente del hallazgo

De acuerdo con las investigaciones de Kirill Firsov, CEO y fundador de la empresa de ciberseguridad FearsOff, la vulnerabilidad más crítica (CVE-2025-49113) fue "convertida en arma" (weaponized) apenas 48 horas después de su divulgación pública inicial. Firsov señaló que el exploit para este fallo incluso fue puesto a la venta en foros especializados en junio del año pasado, lo que subraya la rapidez con la que los grupos de hacking aprovechan estas debilidades.

Aunque no se ha atribuido formalmente esta campaña a un grupo específico, históricamente Roundcube ha sido un objetivo predilecto para actores estatales como APT28 (vinculado a Rusia) y Winter Vivern, debido a su amplio uso en entornos gubernamentales y corporativos.

Plazos de cumplimiento

Bajo la Directiva Operativa Vinculante (BOD) 22-01, las agencias del Poder Ejecutivo Civil Federal (FCEB) de EE. UU. tienen como fecha límite el 13 de marzo de 2026 para aplicar las mitigaciones necesarias.

Si bien esta directiva es obligatoria para instituciones federales, la CISA y expertos de FearsOff instan a todas las organizaciones del sector privado a priorizar la actualización de Roundcube a las versiones más recientes para neutralizar estos vectores de ataque que ya están siendo utilizados en el mundo real.