CVE-2025-49113: exploit critico in vendita e PoC pubblico minacciano oltre 84.000 installazioni Roundcube esposte su internet Una grave vulnerabilità identificata come CVE-2025-49113 sta attirando l’attenzione della comunità di sicurezza e degli attori malevoli. Si tratta di una falla critica che colpisce Roundcube, popolare webmail open source, e che potrebbe consentire l’esecuzione di codice remoto (RCE) senza autenticazione da parte di un attaccante.
Secondo la Shadowserver Foundation, la situazione è preoccupante: circa 84.000 istanze di Roundcube risultano esposte su internet, molte delle quali ancora non aggiornate. Le installazioni vulnerabili sono distribuite prevalentemente in Europa, Asia e Nord America, con un rischio particolarmente elevato per provider di posta, organizzazioni pubbliche, università e piccole-medie imprese.
Sfruttamento già possibile: exploit in vendita e PoC disponibile
A rendere la situazione ancora più critica è la circolazione di exploit funzionanti:
Un exploit commerciale è stato individuato in vendita su forum sotterranei frequentati da cybercriminali;
Un proof-of-concept (PoC) pubblico è stato reso disponibile online, rendendo il codice di attacco facilmente accessibile anche a soggetti non particolarmente sofisticati.
Questo scenario lascia intendere che campagne di attacco su larga scala potrebbero iniziare — o essere già in corso, soprattutto per la facilità con cui la vulnerabilità può essere sfruttata da remoto su istanze esposte.
Cos’è Roundcube?
Roundcube è un client email open source basato su web, utilizzato per fornire interfacce email accessibili da browser. È particolarmente diffuso grazie alla sua facilità di integrazione con infrastrutture esistenti e il supporto per:
server IMAP per la gestione della posta,
protocolli SMTP per l’invio dei messaggi,
e database come MySQL o PostgreSQL per la memorizzazione dei dati.
Viene comunemente installato su server Linux con Apache o Nginx, ed è spesso incluso nei pacchetti di hosting web e nei pannelli di controllo come cPanel o Plesk.
Raccomandazioni urgenti
Dato il livello di esposizione e il rischio immediato, è fondamentale intervenire tempestivamente. Si consiglia di:
Aggiornare Roundcube all’ultima versione disponibile, che contiene la patch per CVE-2025-49113;
Monitorare il traffico verso le istanze Roundcube pubblicamente accessibili, in cerca di segni di exploit o attività anomale;
Isolare temporaneamente le istanze vulnerabili, ove l’aggiornamento non sia immediatamente possibile;
Implementare regole WAF o mod_security, ove applicabile, per bloccare tentativi noti di exploit basati sul PoC pubblicato;
Verificare i log dei server alla ricerca di accessi sospetti, upload anomali o comandi imprevisti eseguiti da utenti non autenticati.
- Fino alla versione 1.5.9
- Dalla versione 1.6.0 alla 1.6.10
- 1.5.10 e 1.6.11, rilasciate il 1° giugno 2025
La vulnerabilità è stata segnalata privatamente da Kirill Firsov, CEO della società di cybersecurity FearsOff, che inizialmente aveva evitato di rendere pubblici i dettagli tecnici e il PoC.
Tuttavia, una volta pubblicata la patch su GitHub, gli attori malevoli hanno individuato rapidamente la falla e creato un exploit funzionante nel giro di 48 ore. A quel punto, Firsov ha deciso di pubblicare anche il proprio PoC, dichiarando che l’intento era di dare ai difensori pari opportunità e fornire trasparenza tecnica.Cosa fare?
Gli utenti di Roundcube devono aggiornare immediatamente alle versioni patchate e monitorare attività sospette, come:- Caricamenti di file
- Sessioni utente anomale
- Altri indicatori di compromissione legati a questo vettore di attacco
“In uno degli incidenti analizzati, dopo aver rubato le credenziali, gli attaccanti hanno consultato la casella di posta della vittima, scaricato la rubrica, e in alcuni casi usato l’account per inviare ulteriori email di phishing,” ha riferito il team CERT.
Hanno inoltre osservato che la nuova vulnerabilità CVE-2025-49113, scoperta solo questa settimana, potrebbe essere combinata con altre falle per creare una catena di attacco molto efficace.
