La reconocida plataforma de correo web Roundcube enfrenta serias amenazas de seguridad, según investigadores y la Agencia de Seguridad Cibernética e Infraestructura (CISA). Las vulnerabilidades, registradas como CVE-2025-49113 y CVE-2025-68461, han sido añadidas al catálogo de Vulnerabilidades Conocidas Explotadas de la CISA, lo que indica la gravedad de las mismas. La primera vulnerabilidad, CVE-2025-49113, es un problema de deserialización que ha permanecido sin resolver durante casi 10 años y presenta una puntuación de severidad de 9.9.
Ciber-errores
Este fallo ha llamado la atención de atacantes, especialmente debido al uso extensivo de Roundcube en sectores como el gubernamental y en instituciones de educación superior. En un informe de la organización Shadowserver, se reveló que aproximadamente 84,000 instancias del software son vulnerables. Ryan Dewhurst, jefe de inteligencia de amenazas proactivas en la firma watchTowr, destacó que la popularidad de Roundcube lo convierte en un objetivo atractivo para los hackers, especialmente porque “los servicios de correo web son una mina de oro”.
La segunda vulnerabilidad mencionada, CVE-2025-68461, está relacionada con un problema de scripting entre sitios (cross-site scripting) y fue corregida en diciembre de 2025. Roundcube ha instado a sus usuarios a actualizar a versiones que incluyan las correcciones necesarias para mitigar estos riesgos de seguridad.
La exposición continua a estas vulnerabilidades y el enfoque constante de hackers, incluidos aquellos vinculados a gobiernos, crean un panorama alarmante para los usuarios de Roundcube. Con el aumento de los ataques cibernéticos, las instituciones deben tomar medidas proactivas para asegurar sus plataformas de correo electrónico.
