Falhas no RoundCube exploradas ativamente

A CISA alertou para a exploração ativa de duas vulnerabilidades críticas no RoundCube Webmail, amplamente utilizado em redes governamentais e empresariais.

Uma das falhas, identificada como CVE-2025-49113 (CVSS 9,9), trata-se de uma vulnerabilidade de execução remota de código (RCE) pós-autenticação. O problema afeta todas as versões do RoundCube entre a 1.1.0 e a 1.6.10 e resulta de um defeito introduzido há mais de uma década.

A vulnerabilidade permite que atacantes incluam um payload malicioso no nome de ficheiros a carregar, levando à injeção de dados na sessão ativa do utilizador. A falha foi corrigida a 1 de junho de 2025, mas o código de exploração surgiu poucos dias após a divulgação pública, com relatos de que as credenciais necessárias poderiam ser obtidas por força bruta.

Além desta falha crítica, a CISA confirmou a exploração da vulnerabilidade CVE-2025-68461 (CVSS 7,2), corrigida em dezembro de 2025. Esta segunda falha corresponde a um problema de cross-site scripting (XSS) explorável através da tag animate em documentos SVG.

As versões vulneráveis do RoundCube não sanitizavam adequadamente payloads maliciosos incorporados nessa tag, permitindo a execução de código no contexto da sessão do navegador da vítima, sem necessidade de interação adicional do utilizador. A vulnerabilidade foi resolvida nas versões 1.6.12 e 1.5.12.

A CISA adicionou a CVE-2025-49113 ao catálogo Known Exploited Vulnerabilities (KEV) e determinou que as agências federais norte-americanas devem aplicar as correções no prazo de três semanas, em conformidade com a diretiva Binding Operational Directive (BOD) 22-01.

A agência recomenda que todas as organizações consultem regularmente o catálogo KEV e priorizem a mitigação das vulnerabilidades listadas, dada a elevada probabilidade de exploração ativa e o impacto potencial em ambientes críticos.