La Cybersecurity and Infrastructure Security Agency (CISA) ha inserito nel Known Exploited Vulnerabilities Catalog (KEV) due vulnerabilità che colpiscono Roundcube Webmail, piattaforma open source adottata su larga scala in ambienti hosting e governativi. Le falle sono identificate come CVE-2025-49113 e CVE-2025-68461 e risultano già sfruttate in attacchi reali.
La prima vulnerabilità ha un punteggio CVSS 9.9 ed è classificata come remote code execution (RCE). La seconda è una cross-site scripting (XSS) legata alla gestione di contenuti SVG, con punteggio CVSS 7.2. Entrambe sono state corrette nelle versioni 1.6.10, 1.6.11, 1.6.12 e 1.5.12, a seconda del ramo interessato.
Roundcube è integrato da anni come interfaccia predefinita in cPanel, pannello di controllo per l’hosting web molto diffuso che ne ha favorito la diffusione globale. Proprio questa ampia installazione lo rende un bersaglio costante per criminali informatici.
Poco dopo la pubblicazione delle patch risultavano esposte oltre 84.000 installazioni vulnerabili. Numeri che spiegano perché l’inserimento nel catalogo KEV non è un segnale da sottovalutare.
Analisi tecnica delle vulnerabilità CISA e scenari di rischio
La vulnerabilità CISA CVE-2025-49113 riguarda la deserializzazione di dati non attendibili. In termini pratici, un input manipolato, ad esempio tramite allegati o campi specifici, può indurre il server a eseguire codice arbitrario. Questo comportamento deriva da una gestione non corretta dei processi di serializzazione in componenti PHP interne.
Il risultato è altamente critico. L’esecuzione di codice remoto consente l’installazione di backdoor o la distribuzione di ransomware. Alcune analisi indicano che il difetto fosse latente da circa 10 anni, ampliando la finestra di esposizione.
La seconda falla, CVE-2025-68461, è una stored XSS collegata all’uso del tag animate nei file SVG. Un messaggio email costruito ad arte può contenere script che vengono eseguiti nel browser della vittima. Le conseguenze includono furto di sessione, sottrazione di credenziali o diffusione interna dell’attacco.
Il client webmail ha corretto questi problemi con le release:
- Versione 1.6.10 e successive. Introduzione di controlli più rigorosi sulla deserializzazione
- Versione 1.6.11 / 1.6.12. Miglioramento della sanitizzazione degli input
- Versione 1.5.12. Patch per il ramo LTS
L’ampia superficie di attacco è confermata da motori di ricerca come Shodan, che tracciano migliaia di istanze del client webmail esposte pubblicamente su Internet. Il dato non indica automaticamente quante siano vulnerabili, ma evidenzia la dimensione del perimetro potenzialmente coinvolto. Nei contesti multi-tenant, tipici degli hosting condivisi, l’impatto potenziale è ancora più ampio.
Come reagire subito
Roundcube è stato in passato nel mirino di gruppi legati a operazioni di spionaggio, come APT28 e Winter Vivern (TA473), e rappresenta un punto di accesso strategico alle comunicazioni interne.
Roundcube alimenta milioni di caselle email in tutto il mondo: la combinazione tra una RCE critica (9.9) e una XSS persistente crea uno scenario in cui l’accesso iniziale può trasformarsi rapidamente in compromissione estesa.
Se gestisci un server mail, la priorità è verificare la versione installata e aggiornare immediatamente alle release corrette. In parallelo, ha senso attivare un Web Application Firewall (WAF), disabilitare plugin non indispensabili e controllare i log alla ricerca di errori di deserializzazione o payload XSS sospetti.
Dopo la pubblicazione di una patch, le scansioni automatizzate iniziano in poche ore. La differenza tra un sistema aggiornato e uno trascurato può tradursi in accesso completo alla posta aziendale. In ambito email, dove transitano dati sensibili e credenziali, la rapidità di aggiornamento non è solo buona pratica tecnica, ma una necessità.
