¡Diez años a la sombra! Una vieja vulnerabilidad crítica en Roundcube permite ejecutar código tras autenticarse

Un investigador ha destapado un bug que llevaba una década escondido en Roundcube Webmail. El fallo (CVE-2025-49113, CVSS 9.9) permite que cualquier usuario autenticado tome el control total del servidor y ejecute código arbitrario. La solución llegó el 1 de junio con las versiones 1.6.11 y 1.5.10 LTS —pero mientras no se apliquen, miles de instalaciones siguen expuestas.

El problema reside en program/actions/settings/upload.php. Al subir ficheros de configuración, Roundcube acepta un parámetro oculto llamado _from. Durante el proceso no se valida su contenido y se pasa directamente a unserialize() de PHP. Eso abre la puerta a un ataque clásico de deserialización de objetos: el atacante fabrica un objeto con un método “mágico” (__wakeup, __destruct, etc.) que se disparará al deserializarse, permitiendo ejecutar comandos en el sistema operativo.

1. Requisitos mínimos: basta con poseer una cuenta válida (o credenciales robadas) en Roundcube.
2. Impacto: ejecución remota de código con los permisos del servidor web; desde ahí es trivial escalar privilegios o pivotar a otros sistemas.
3. Alcance temporal: el código vulnerable existe desde al menos 2015, por lo que instalaciones legacy de Roundcube 1.0–1.6.10 son vulnerables.
4. Mitigación: actualizar ya a 1.6.11 o 1.5.10 LTS y restringir el acceso administrativo. También se recomienda revisar los logs en busca de llamadas sospechosas a upload.php. roundcube.net

Más información:

• Critical 10-Year-Old Roundcube Webmail Bug Allows Authenticated Users Run Malicious Code – The Hacker News https://thehackernews.com/2025/06/critical-10-year-old-roundcube-webmail.html
• Security updates 1.6.11 and 1.5.10 released – Roundcube.net https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10
• CVE-2025-49113 – NIST NVD https://nvd.nist.gov/vuln/detail/CVE-2025-49113

La entrada ¡Diez años a la sombra! Una vieja vulnerabilidad crítica en Roundcube permite ejecutar código tras autenticarse se publicó primero en Una Al Día.