Los hackers reaccionaron más rápido que los administradores: un exploit funcional para Roundcube ya está disponible

La vulnerabilidad crítica CVE-2025-49113, descubierta en el popular sistema de correo web Roundcube, terminó en manos de ciberdelincuentes apenas unos días después de publicarse el parche. Los atacantes analizaron rápidamente los cambios en el código, reprodujeron el mecanismo del ataque y empezaron a vender un exploit funcional en foros de hacking. El problema afecta a las versiones de Roundcube desde la 1.1.0 hasta la 1.6.10 y estuvo presente en el código durante más de diez años.

Roundcube está ampliamente difundido en entornos de hosting y lo utilizan los principales proveedores, incluidos GoDaddy, Hostinger, Dreamhost y OVH. También forma parte de paneles de control como cPanel y Plesk, por lo que se emplea activamente en organizaciones educativas, gubernamentales y tecnológicas de todo el mundo. Según estimaciones de los investigadores, el número de instancias desplegadas supera los 1,2 millones.

La vulnerabilidad consiste en un error en el manejo del parámetro $_GET['_from'], que permite la deserialización de objetos PHP. Con un formato específico del nombre de variable, la sesión se corrompe y el atacante puede inyectar un objeto malicioso. Aunque para explotar el fallo se requiere autenticación, esta barrera no se considera seria: el acceso puede lograrse mediante fuerza bruta de contraseñas, extracción de registros o ataques CSRF.

El investigador Kirill Firsov, director de la empresa FearsOff, informó que, debido al uso activo de la vulnerabilidad, decidió divulgar los detalles técnicos antes de que finalizara el periodo de divulgación responsable. Aunque no se publicó una prueba de concepto completa, la información compartida es suficiente para comprender la naturaleza del fallo y cómo explotarlo.

En particular, señaló que los atacantes tardaron solo unos días en realizar ingeniería inversa del parche y desarrollar un exploit funcional. Esto subraya lo peligroso que puede ser el intervalo de tiempo entre la publicación de una actualización y su instalación en los sistemas vulnerables. El exploit ya ha aparecido en foros con la advertencia de que requiere credenciales válidas para su uso.

Según Firsov, una empresa intermediaria especializada en vulnerabilidades está dispuesta a pagar hasta 50.000 dólares por una cadena de explotación funcional de este problema. También destacó que, en pruebas de penetración, encontrar una instancia de Roundcube es más fácil que hallar una vulnerabilidad en SSL, dada la amplia adopción del producto.

A pesar de ser relativamente desconocido entre los usuarios comunes, Roundcube se considera uno de los sistemas de correo web más flexibles y configurables: admite más de 200 parámetros de configuración y se distribuye de forma gratuita. Esta popularidad hace que la vulnerabilidad sea especialmente peligrosa, ya que el alcance de los posibles ataques abarca toda la industria.

Firsov también publicó un video de demostración del ataque utilizando un identificador erróneo de la vulnerabilidad, CVE-2025-48745, que posteriormente fue rechazado por duplicar el CVE-2025-49113. Sin embargo, el mecanismo del ataque sigue siendo idéntico.

Dado que el exploit ya está circulando públicamente, la vulnerabilidad ha entrado en una fase de explotación activa. La falta de actualización oportuna convierte cualquier instalación de Roundcube en un punto potencial de entrada para los atacantes.