A CISA determinou que agências federais dos EUA corrijam até 13 de março de 2026 duas falhas exploradas no cliente de webmail Roundcube, CVE-2025-49113 e CVE-2025-68461. As vulnerabilidades incluem uma falha de desserialização que permite execução remota de código e um XSS via SVG. Ambas foram weaponizadas rapidamente após divulgação e seguem sendo usadas em ataques.
A CVE-2025-49113, com pontuação CVSS 9,9, é uma vulnerabilidade de desserialização de dados não confiáveis explorável por usuários autenticados, localizada no parâmetro _from em URLs da funcionalidade de upload (program/actions/settings/upload.php). Já a CVE-2025-68461 é um bug de cross‑site scripting que abusa da tag animate em documentos SVG, permitindo injeção de scripts no contexto do webmail.
Pesquisadores da FearsOff relataram que a falha de RCE foi analisada e weaponizada em menos de 48 horas após sua divulgação pública, com exploits posteriormente colocados à venda em fóruns clandestinos. Devido à ampla adoção do Roundcube como solução de webmail em organizações menores e provedores, o impacto potencial abrange múltiplos setores e regiões.
A CISA incluiu ambas as vulnerabilidades em seu catálogo KEV e estabeleceu 13 de março de 2026 como data limite para mitigação por parte das agências federais, recomendando que demais organizações façam o mesmo. A orientação é aplicar as versões corrigidas liberadas em 2025, revisar logs de acesso em busca de exploração, desabilitar funcionalidades de upload desnecessárias e reforçar filtros de conteúdo para anexos SVG.
Sistemas Afetados
- Servidores de webmail Roundcube em versões vulneráveis
- Ambientes de e-mail que expõem upload de arquivos a usuários autenticados
Fonte: The Hacker News / CISA / FearsOff
Ler fonte original