# CVE-2025-58360 - Roundcube Webmail XSS Armazenado com Execução Remota > [!high] CISA KEV - Exploração Ativa Confirmada > Vulnerabilidade de Cross-Site Scripting (XSS) armazenado no Roundcube Webmail permite que atacantes remotos autenticados executem código arbitrário no navegador das vítimas. A CISA adicionou ao catálogo KEV confirmando exploração ativa em ambientes corporativos e governamentais. ## Visão Geral O Roundcube Webmail é um dos clientes de webmail de código aberto mais utilizados no mundo, presente em portais governamentais, universidades, provedores de hospedagem e organizações de médio porte. A CVE-2025-58360 explora uma falha de sanitização insuficiente no processamento de mensagens de e-mail HTML, permitindo que um atacante injete código JavaScript malicioso que persiste no servidor e é executado no navegador de qualquer usuário que abra o e-mail contaminado. A natureza de XSS armazenado eleva significativamente a gravidade desta vulnerabilidade: ao contrário de XSS refletido (que exige que a vítima clique em um link especialmente crafted), aqui o payload é entregue automaticamente pela abertura de um e-mail legítimo. Isso torna a exploração silenciosa e escalável, adequada para campanhas de espionagem e coleta de credenciais em larga escala. O vetor de ataque foi associado a grupos de ameaças persistentes avançados (APTs) com histórico de exploração de vulnerabilidades em Roundcube, especialmente [[apt28]] (Fancy Bear) e [[winter-vivern]], que anteriormente utilizaram falhas similares (CVE-2023-5631, CVE-2020-35730) para espionagem contra governos europeus e ONGs. A inclusão no CISA KEV confirma que a exploração ativa já foi observada em ambientes reais. ## Produtos Afetados | Produto | Versões Vulneráveis | Versão Corrigida | |---------|--------------------|--------------------| | Roundcube Webmail | < 1.6.11 | 1.6.11 | | Roundcube Webmail (LTS) | < 1.5.10 | 1.5.10 | ## Análise Técnica A vulnerabilidade reside no parser HTML do Roundcube, específicamente na forma como o componente de renderização de e-mails processa tags e atributos HTML em mensagens recebidas. O filtro de sanitização falha em neutralizar payloads JavaScript embutidos em certas combinações de atributos de evento e elementos SVG/MathML, permitindo que o script malicioso seja armazenado no banco de dados do servidor e executado no contexto da sessão autenticada do usuário. A exploração bem-sucedida permite ao atacante: - Roubar cookies de sessão e tokens de autenticação - Exfiltrar o conteúdo completo da caixa de e-mail da vítima - Enviar e-mails em nome da vítima (pivô para phishing interno) - Instalar backdoors persistentes no cliente via localStorage **TTPs relacionadas:** [[t1059-javascript|T1059.007 - JavaScript]], [[t1566-phishing|T1566 - Phishing]], [[t1190-exploit-public-facing-application|T1190]], [[t1185-browser-session-hijacking|T1185 - Browser Session Hijacking]] ## Contexto LATAM > [!latam] Impacto na América Latina > O Roundcube Webmail tem presença significativa no ecossistema educacional e governamental brasileiro. Universidades federais, prefeituras e secretarias estaduais frequentemente utilizam soluções de webmail baseadas em Roundcube hospedadas in-loco ou por provedores de hospedagem locais. Grupos como APT28 e Winter Vivern, historicamente focados em alvos europeus e governamentais, representam risco para organizações diplomáticas, ONGs e entidades governamentais na região LATAM. A Tempest Security e CERT.br merecem atenção especial para instâncias expostas na rede .gov.br e .edu.br. ## Mitigação 1. **Atualizar imediatamente** para Roundcube 1.6.11 ou 1.5.10 (versão LTS) 2. Verificar se a instância está exposta à internet e restringir acesso por IP quando possível 3. Revisar logs de acesso em busca de requisições incomuns ao endpoint `/index.php` com parâmetros suspeitos 4. Habilitar Content Security Policy (CSP) no servidor web como defesa adicional 5. Para instâncias governamentais: notificar o [[ctir-gov|CTIR Gov]] e seguir as orientações do [[cert-br|CERT.br]] **Mitigação MITRE:** [[m1021-restrict-web-based-content|M1021 - Restrict Web-Based Content]], [[m1050-exploit-protection|M1050 - Exploit Protection]] ## Referências - [NVD - CVE-2025-58360](https://nvd.nist.gov/vuln/detail/CVE-2025-58360) - [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Roundcube Security Advisories](https://roundcube.net/news/) - [ESET - Winter Vivern exploits Roundcube](https://www.welivesecurity.com/en/)