A Agência de Segurança de Infraestrutura e Cibersegurança dos Estados Unidos (CISA) adicionou oficialmente duas vulnerabilidades críticas no Roundcube Webmail ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV). A ação, tomada em 20 de fevereiro de 2026, é baseada em evidências concretas de que agentes de ameaças estão explorando ativamente essas falhas em ataques reais, colocando em risco servidores de email corporativos e governamentais.
As vulnerabilidades em detalhe
As falhas adicionadas ao catálogo são:
- CVE-2025-49113 (Crítica): Uma vulnerabilidade de Desserialização de Dados Não Confiáveis no backend PHP do Roundcube. Isso permite que atacantes remotos executem código arbitrário ou manipulem a lógica da aplicação enviando entrada serializada manipulada.
- CVE-2025-68461 (Alta): Uma vulnerabilidade de Cross-Site Scripting (XSS) na interface web. A exploração permite a injeção de scripts maliciosos, podendo levar ao roubo de sessão ou de credenciais sensíveis.
CISA destaca que interfaces de webmail, frequentemente expostas à internet, são vetores de ataque comuns. A exploração dessas brechas pode conceder acesso não autorizado a contas de email, permitir a interceptação de comunicações e servir como ponto de entrada para redes mais amplas.
Diretiva operacional vinculante para agências federais
A inclusão no catálogo KEV é regida pela Diretiva Operacional Vinculante (BOD) 22-01 da CISA, "Reduzindo o Risco Significativo de Vulnerabilidades Exploradas Conhecidas". Sob este mandato, todas as agências do Poder Executivo Federal Civil (FCEB) são obrigadas a corrigir as vulnerabilidades identificadas dentro de prazos específicos – neste caso, três semanas a partir da adição ao catálogo.
O objetivo da diretiva é mudar o foco da gestão de um grande número de vulnerabilidades para a priorização urgente daquelas que estão sendo ativamente usadas por adversários. Embora a exigência seja legalmente vinculante apenas para agências federais dos EUA, a CISA "recomenda enfaticamente que todas as organizações adotem uma urgência similar".
Remediação e ações recomendadas
A correção para ambas as vulnerabilidades já está disponível nas versões atualizadas do software Roundcube Webmail. A CISA e os mantenedores do Roundcube recomendam a aplicação imediata dos patches de segurança.
Para organizações que não podem atualizar imediatamente, medidas de mitigação devem ser consideradas, como restringir o acesso aos servidores Roundcube apenas a redes confiáveis, implementar um Web Application Firewall (WAF) com regras específicas para detectar tentativas de exploração desses CVEs e monitorar logs de aplicação e rede em busca de atividades anômalas.
O catálogo KEV da CISA é atualizado continuamente à medida que novas evidências de exploração atendem aos seus critérios, servindo como um barômetro essencial das ameaças mais prementes para infraestruturas críticas e empresas em todo o mundo.