# CVE-2025-49113 - RCE via Desserialização PHP no Roundcube Webmail > [!critical] CVSS 9.9 - CISA KEV - Exploração Ativa > Execução remota de código via desserialização insegura de objetos PHP no Roundcube Webmail. Um atacante autenticado pode comprometer completamente o servidor de e-mail. APT29 e APT28 têm histórico de exploração de vulnerabilidades Roundcube. ## Visão Geral A CVE-2025-49113 é uma vulnerabilidade crítica de execução remota de código (RCE) no Roundcube Webmail, um dos clientes de webmail de código aberto mais populares do mundo, amplamente utilizado por universidades, governos, provedores de hospedagem e pequenas e médias empresas. A falha ocorre na funcionalidade de upload do arquivo `upload.php`, que deserializa sem válidação o parâmetro `_from` controlado pelo usuário. Um atacante com uma conta válida no servidor pode enviar um objeto PHP especialmente construído, acionando a execução de código arbitrário no servidor. O impacto é considerado crítico com escopo estendido (S:C no vetor CVSS): além de comprometer o servidor Roundcube em si, o atacante obtém acesso a todos os e-mails armazenados, credenciais IMAP, dados de usuários e potencialmente ao sistema operacional subjacente. O vetor de autenticação requerida (PR:L) pode ser contornado via phishing para obter uma conta de baixo privilégio antes da escalada. Grupos de espionagem de estados-nação como [[g0016-apt29|APT29]] (Cozy Bear, Russia) e [[g0007-apt28|APT28]] (Fancy Bear) têm histórico documentado de exploração de vulnerabilidades no Roundcube para comprometer caixas de e-mail de alvos governamentais, diplomáticos e jornalistas. A inclusão no catálogo CISA KEV confirma exploração ativa e torna o patch obrigatório para organizações federais dos EUA — e urgente para qualquer organização. ## Produtos Afetados | Produto | Versões Vulneráveis | Versão Corrigida | |---------|---------------------|-----------------| | Roundcube Webmail (branch 1.5.x) | < 1.5.10 | 1.5.10 | | Roundcube Webmail (branch 1.6.x) | < 1.6.11 | 1.6.11 | | Roundcube Webmail (branch 1.4.x e anteriores) | Todas as versões | Migrar para 1.5.10+ ou 1.6.11+ | ## Detalhes Técnicos A vulnerabilidade reside no arquivo `upload.php` do Roundcube. O parâmetro `_from` da requisição POST é passado diretamente para `unserialize()` do PHP sem sanitização. A desserialização de objetos PHP arbitrários permite que um atacante explore "gadget chains" presentes nas dependências do projeto para atingir RCE. **Fluxo de exploração:** 1. Atacante obtém conta no servidor Roundcube (credenciais fracas, phishing, etc.) 2. Envia requisição POST para `upload.php` com parâmetro `_from` contendo payload de desserialização 3. PHP desserializa o objeto malicioso, acionando uma gadget chain disponível 4. Execução de código arbitrário no contexto do processo web do servidor 5. Possível movimento lateral para outros sistemas na rede **Gadget chains relevantes:** Dependendo das bibliotecas PHP instaladas (ex: Guzzle, Monolog, Symfony), diversas gadget chains conhecidas podem ser utilizadas para escalar de desserialização para RCE. ## Mitigação **Ação imediata (patch disponível):** - Atualizar para Roundcube 1.5.10 ou 1.6.11 imediatamente - Verificar integridade do servidor Roundcube após patch (possível comprometimento anterior) **Controles compensatórios (se patch não for imediato):** - Bloquear requisições POST para `upload.php` via WAF ou regras de firewall de aplicação - Restringir acesso ao Roundcube a redes confiáveis ([[m1035-limit-access-to-resource-over-network|M1035]]) - Implementar autenticação multifator ([[m1032-multi-factor-authentication|MFA]]) para reduzir risco de contas comprometidas - Monitorar logs de acesso web para requisições anômalas para `upload.php` - Auditar PHP `disable_functions` para limitar funções executáveis em caso de exploração **Pós-comprometimento (se sistema foi afetado):** - Rotacionar todas as credenciais IMAP/SMTP armazenadas - Auditar e-mails acessados ou encaminhados sem autorização - Rever regras de redirecionamento de e-mail criadas na conta - Escaneamento forense do servidor em busca de webshells ## Contexto LATAM > [!latam] Impacto no Brasil e América Latina > O Roundcube Webmail é amplamente utilizado no Brasil por universidades federais e estaduais (UFMG, UNICAMP, USP), órgãos governamentais estaduais, provedores regionais de hospedagem e PMEs do setor de TI. A popularidade do software na região cria uma superfície de ataque significativa para grupos de espionagem como **APT28** e **APT29** que têm interesse em alvos governamentais e acadêmicos brasileiros. Organizações brasileiras de pesquisa com colaboração internacional e entidades diplomáticas são alvos de alto valor. O CERT.br recomendou a aplicação imediata do patch. Provedores de hospedagem compartilhada que oferecem Roundcube devem tratar a atualização como emergência, pois um único servidor vulnerável pode comprometer centenas de caixas de e-mail de clientes. ## Referências - [NVD - CVE-2025-49113](https://nvd.nist.gov/vuln/detail/CVE-2025-49113) - [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Roundcube Security Advisory](https://roundcube.net/news/2025/05/14/security-update) - [ESET - APT groups abusing Roundcube vulnerabilities](https://www.welivesecurity.com) ## Notas Relacionadas - [[g0016-apt29|APT29 - Cozy Bear]] - exploração documentada de Roundcube em campanhas de espionagem - [[g0007-apt28|APT28 - Fancy Bear]] - grupos russos com alvos governamentais via webmail - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1059-006-python|T1059.006 - Python]] - execução de scripts no servidor comprometido - [[m1032-multi-factor-authentication|M1032 - Multi-Factor Authentication]] - [[m1035-limit-access-to-resource-over-network|M1035 - Limit Access to Resource Over Network]] - [[government|Setor - Governo]] - [[education|Setor - Educação]] - [[technology|Setor - Tecnologia]]