As vulnerabilidades CVE-2025-49113 e CVE-2025-68461 afetam o webmail Roundcube e exigem correção em ambientes federais dos EUA até 13 de março de 2026.
| Componente | Roundcube webmail, incluindo o fluxo de upload em program/actions/settings/upload.php e o processamento de SVG com tag animate. |
| Vetor | CVE-2025-49113 pode ser acionada por usuários autenticados por desserialização de dados não confiáveis ligada ao parâmetro _from; CVE-2025-68461 envolve XSS por documento SVG. |
| Impacto | CVE-2025-49113 permite execução remota de código por usuário autenticado; CVE-2025-68461 permite execução de script no contexto do webmail. |
| Prioridade | Inventariar instâncias Roundcube, aplicar as correções já disponíveis e concluir a remediação antes de 13 de março de 2026 em ambientes sujeitos à diretriz KEV. |
| Correção | CVE-2025-49113 foi corrigida em junho de 2025 e CVE-2025-68461 foi corrigida em dezembro de 2025. |
| Exploração | A inclusão no KEV foi motivada por evidência de exploração ativa; não há atribuição pública indicada para os operadores envolvidos nestes dois casos. |
A CISA adicionou duas vulnerabilidades do Roundcube webmail ao catálogo Known Exploited Vulnerabilities após identificar evidência de exploração ativa. As falhas são CVE-2025-49113, avaliada com CVSS 9.9, e CVE-2025-68461, avaliada com CVSS 7.2. A primeira é uma vulnerabilidade de desserialização de dados não confiáveis que pode resultar em execução remota de código por usuários autenticados. A segunda é uma falha de cross-site scripting relacionada ao uso da tag animate em documentos SVG processados pelo webmail.
O impacto operacional é relevante porque Roundcube costuma ficar exposto à internet como interface de correio eletrônico, frequentemente associado a contas corporativas, provedores, ambientes hospedados e painéis administrados por terceiros. A presença no catálogo KEV não descreve apenas uma falha teórica: ela indica que a vulnerabilidade já foi observada em uso contra alvos reais. Para agências do Poder Executivo Civil Federal dos Estados Unidos, a remediação dos sistemas identificados deve ocorrer até 13 de março de 2026, prazo que também serve como referência de urgência para organizações que mantêm Roundcube acessível em perímetro externo.
A CVE-2025-49113 tem peso maior na priorização porque combina pré-condição realista, execução de código e confiabilidade relatada em instalações padrão. O problema fica associado ao parâmetro _from em uma URL, que não era validado adequadamente no arquivo program/actions/settings/upload.php. A falha teria permanecido no código por mais de dez anos e, após a divulgação pública, foi analisada e transformada em exploração funcional em até 48 horas. Também foi informado que um exploit para essa vulnerabilidade passou a ser oferecido em 4 de junho de 2025, o que amplia o risco para ambientes que atrasaram a atualização.
Na CVE-2025-49113, o ponto central é a desserialização de dados não confiáveis associada a uma entrada controlável pelo usuário autenticado. O parâmetro _from, presente em uma URL do fluxo de upload de configurações, não recebe validação adequada antes de influenciar o processamento interno. Em termos defensivos, isso significa que uma requisição autenticada especialmente construída pode levar o aplicativo a interpretar dados manipulados de forma insegura, cruzando a fronteira entre entrada do usuário e lógica de execução no servidor. O resultado confirmado é execução remota de código, limitada pela pré-condição de autenticação.
A exigência de autenticação não elimina o risco. Em ambientes de webmail, contas válidas podem existir em grande quantidade, podem ser obtidas por phishing, reutilização de senha, credenciais antigas ou abuso de contas de baixo privilégio. Uma vez autenticado no Roundcube, o operador não precisa necessariamente ter privilégios administrativos para acionar a falha descrita. A combinação de serviço exposto, autenticação de usuário comum e execução de código no servidor torna a vulnerabilidade prioritária para correção, principalmente quando o webmail compartilha infraestrutura com serviços de correio, painéis de hospedagem ou diretórios de usuários.
A CVE-2025-68461 tem natureza diferente. Ela é descrita como uma vulnerabilidade de cross-site scripting via tag animate em documento SVG. O vetor envolve conteúdo SVG capaz de acionar execução de script no contexto de navegação do usuário que interage com o webmail. O efeito técnico confirmado é XSS, não execução de código no servidor. O risco defensivo está no contexto da sessão do usuário: ações no webmail, exposição de dados visíveis na interface, manipulação de conteúdo renderizado e possível apoio a etapas de comprometimento de sessão, desde que as condições de interação e renderização estejam presentes.
Não há detalhes públicos indicados sobre quem está explorando estas duas falhas específicas. O histórico do Roundcube, porém, exige cautela porque vulnerabilidades anteriores no software já foram usadas por atores patrocinados por Estado, incluindo APT28 e Winter Vivern. Essa informação não atribui a exploração atual a esses grupos; ela apenas reforça que webmail exposto é uma superfície de alto valor para espionagem, coleta de comunicações, acesso inicial e campanhas direcionadas contra organizações que dependem de correio eletrônico como ponto de entrada.
A superfície afetada inclui instâncias Roundcube que permanecem em versões anteriores às correções de junho de 2025 para CVE-2025-49113 e de dezembro de 2025 para CVE-2025-68461. O material disponível não lista números exatos de versões vulneráveis, portanto a validação deve ser feita por inventário interno, comparação com os pacotes instalados e confirmação do nível de atualização aplicado pelo mantenedor, provedor de hospedagem ou distribuição usada no ambiente.
Ambientes com Roundcube publicado diretamente na internet merecem prioridade, principalmente quando atendem muitos usuários, aceitam anexos ou conteúdo HTML, integram autenticação corporativa ou rodam em servidores que também armazenam caixas postais. A CVE-2025-49113 deve ser tratada como risco de comprometimento do servidor de aplicação quando houver conta válida disponível ao operador. A CVE-2025-68461 deve ser tratada como risco de execução de script contra usuários do webmail, com atenção especial a contas administrativas, contas de suporte e usuários com acesso a mensagens sensíveis.
- Instâncias Roundcube com acesso público e autenticação exposta a usuários finais.
- Servidores que ainda não receberam a correção de junho de 2025 para
CVE-2025-49113. - Servidores que ainda não receberam a correção de dezembro de 2025 para
CVE-2025-68461. - Ambientes em que uma conta Roundcube comum pode alcançar o fluxo de upload em
program/actions/settings/upload.php. - Usuários que visualizam conteúdo SVG ou mensagens capazes de interagir com renderização de HTML no webmail.
A investigação deve começar pelo mapeamento de todas as URLs públicas do Roundcube, versões instaladas, origem dos pacotes e datas de atualização. Em seguida, a equipe deve revisar logs de acesso HTTP em busca de requisições ao fluxo program/actions/settings/upload.php, principalmente quando houver parâmetro _from, respostas incomuns, erros de aplicação, códigos de status fora do padrão ou sequência de requisições autenticadas que não corresponda ao uso normal da interface. Como a falha de maior impacto exige usuário autenticado, a correlação com logs de sessão, autenticação e endereço IP de origem é essencial.
Para a falha de XSS, a telemetria deve considerar mensagens, anexos ou conteúdo SVG que tenham sido renderizados pelo webmail. A presença de SVG com tag animate não prova exploração por si só, mas pode justificar triagem quando associada a sessões suspeitas, alertas de navegador, alterações inesperadas na interface, redirecionamentos ou ações executadas pela conta após visualização de conteúdo. Em endpoints de usuários sensíveis, eventos de navegação, bloqueios de script, domínios externos defangados e mudanças de sessão podem ajudar a reconstruir o fluxo.
Como não há atribuição conhecida para a exploração atual, a caça não deve depender de TTPs de um único grupo. O foco deve ser comportamento: uso anômalo de contas, acesso ao endpoint vulnerável, falhas de desserialização, criação ou alteração inesperada de arquivos pelo processo web, conexões de saída não usuais a partir do servidor Roundcube e atividades de sessão incompatíveis com o perfil do usuário.
- Requisições autenticadas para
program/actions/settings/upload.phpcontendo o parâmetro_from. - Erros de aplicação, mensagens de desserialização ou falhas inesperadas próximas a requisições de upload/configuração.
- Sessões Roundcube originadas de endereços IP incomuns, horários atípicos ou múltiplas localizações em curto intervalo.
- Arquivos SVG recebidos ou renderizados com uso da tag
animateem mensagens ou anexos. - Conexões de saída anômalas iniciadas pelo servidor que hospeda o Roundcube após eventos suspeitos.
- Alterações inesperadas em arquivos da aplicação, diretórios temporários, permissões ou artefatos gerados pelo processo web.
A resposta deve priorizar atualização e confirmação de versão, não apenas aplicação nominal de pacote. Para CVE-2025-49113, a organização deve garantir que a correção disponibilizada em junho de 2025 esteja presente. Para CVE-2025-68461, deve confirmar a correção de dezembro de 2025. Em ambientes gerenciados por provedor, a equipe deve obter evidência operacional da atualização, como versão instalada, data do pacote, origem do build e reinicialização efetiva dos serviços envolvidos.
Depois da correção, a validação deve incluir revisão de logs anteriores à atualização, porque a presença no KEV indica exploração ativa e não apenas disponibilidade de exploit. Quando houver indício de uso da CVE-2025-49113, trate o servidor como potencialmente comprometido até que a análise mostre o contrário: preserve logs, verifique integridade dos arquivos da aplicação, revise processos do serviço web, inspecione tarefas agendadas, credenciais locais e conexões de saída. Quando o indício estiver ligado à CVE-2025-68461, priorize sessões de usuários impactados, tokens, cookies, mensagens visualizadas e ações realizadas logo após a renderização do conteúdo suspeito.
Controles compensatórios podem reduzir exposição enquanto a correção é validada, mas não substituem atualização. Restringir acesso administrativo, aplicar autenticação multifator quando disponível, limitar acesso por rede para painéis sensíveis e reforçar monitoramento no proxy reverso ajudam a reduzir a janela de exploração. Também é recomendável revisar políticas de tratamento de anexos e SVG no webmail, especialmente para contas com acesso privilegiado ou caixas compartilhadas.
- Atualizar todas as instâncias Roundcube para versões que incluam as correções de junho de 2025 e dezembro de 2025.
- Concluir a remediação de ambientes sujeitos à diretriz KEV até 13 de março de 2026.
- Inventariar servidores Roundcube expostos à internet, incluindo instâncias mantidas por provedores ou painéis de hospedagem.
- Revisar logs de acesso e autenticação anteriores à atualização para sinais de exploração autenticada.
- Rotacionar credenciais e sessões quando houver evidência de abuso de conta ou execução indevida no servidor.
- Verificar integridade de arquivos da aplicação, diretórios temporários e processos associados ao serviço web.
- Aplicar controles de redução de superfície, como restrição de acesso por rede e monitoramento de requisições ao endpoint vulnerável.
0 Comentários