Tutoriales y Manuales
Entradas Mensuales
-
▼
2025
(Total:
905
)
-
▼
junio
(Total:
58
)
-
Windows 11 permite comprimir imágenes sin aplicaci...
-
OpenAI revela que los registros de ChatGPT se cons...
-
Windows Maintenance Tool: repara, limpia y mantien...
-
Rufus 4.8 mejora el rendimiento con las ISO de Win...
-
NVIDIA N1X: el chip ARM para PCs competirá con Int...
-
Google Beam, el dispositivo de videollamadas de Go...
-
WhiteRabbitNeo un LLM (un "ChatGPT") para hacking
-
OpenAI utilizará Google Cloud para la capacidad co...
-
Microsoft bloqueará archivos .library-ms y .search...
-
Por primera vez, un hombre con ELA ha conseguido h...
-
Descubren una vulnerabilidad crítica de Copilot qu...
-
Una ‘calcomanía’ creada con inteligencia artificia...
-
Una Atari 2600 gana al ajedrez a ChatGPT
-
Vulnerabilidades en Fortinet explotadas para infec...
-
Script PowerShell para restaurar la carpeta "inetp...
-
Nintendo Switch 2 vende 3,5 millones de unidades e...
-
ChatGPT sufre una caída a nivel mundial: la IA dej...
-
OpenAI anuncia su IA más poderosa e inteligente a ...
-
Magistral es el nuevo modelo de razonamiento de Mi...
-
OpenAI, Meta y Google pierden su talento en IA a f...
-
El teléfono móvil domina el tráfico web global con...
-
Apple ha demostrado que los modelos de razonamient...
-
Tu nombre, dirección y tarjeta: filtración de 7 mi...
-
Adiós a #SkinnyTok: TikTok prohíbe en España la te...
-
Apple presenta el nuevo diseño de software Liquid ...
-
Las mejores alternativas a WhatsApp 2025: segurida...
-
Microsoft anuncia un programa de ciberseguridad pa...
-
Qué son los Agentes de IA y por qué se dice que mo...
-
¿Cuánta información memoriza realmente un LLM?
-
Gemini ya permite programar acciones desde el móvil
-
Adobe lanza el Photoshop para Android y es gratis ...
-
CodeStrike, el videojuego gratuito que te enseña P...
-
Filtración datos personales de Infojobs tras sufri...
-
Nuevas patrullas con drones para vigilar áreas urb...
-
¿La publicidad del futuro? Sony presenta la primer...
-
Una startup financiada por Microsoft se hunde tras...
-
Antigua vulnerabilidad crítica en el webmail Round...
-
Mistral Code es un nuevo agente de IA capaz de esc...
-
Una tiktoker ayudó a Corea del Norte a infiltrarse...
-
Multa de 3,2 millones a Carrefour por múltiples br...
-
España bloquea una media de 235.600 llamadas y 10....
-
DeepSeek es acusada de copiar a Gemini, la IA de G...
-
Codex ya está disponible en ChatGPT
-
Disponible Unreal Engine 5.6
-
Scrapy, el framework open source que se ha convert...
-
Glosario para unificar nomenclatura APT
-
Este es el método oculto con el que Meta rastrea s...
-
Personas que perdieron su trabajo porque su jefe p...
-
Llegan los primeros Juegos Olímpicos de robots hum...
-
Hackeo a Movistar Perú:supuesta filtración de dato...
-
Vulnerabilidades críticas en sistema de foros vBul...
-
Starlink V3 es oficial: descargas 10 veces más ráp...
-
Detenido un hombre en Barcelona por grabar con gaf...
-
Google Maps cerró varias autopistas alemanas duran...
-
Así cayó Valyrio, el 'youtuber' que montó un Googl...
-
Guía de seguridad y privacidad de la IA de OWASP
-
Meta se alía con el Ejército de Estados Unidos par...
-
Google ya puede resumir vídeos guardados en Drive ...
-
-
▼
junio
(Total:
58
)
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Kaspersky ha detectado la filtración de más de 7 millones de cuentas de servicios de 'streaming' en todo el mundo, de las cuales c... -
ChatGPT, ese símbolo del avance tecnológico con voz sedosa y respuestas a medida, ha sido aplastado por una consola Atari 2600 de 1977 corri... -
Investigadores de la empresa Aim Security descubrieron una vulnerabilidad crítica en Microsoft 365 Copilot que permitía robar información...
Antigua vulnerabilidad crítica en el webmail Roundcube permite ejecutar código tras autenticarse
Un investigador ha destapado un bug que llevaba una década escondido en Roundcube Webmail. El fallo (CVE-2025-49113, CVSS 9.9) permite que cualquier usuario autenticado tome el control total del servidor y ejecute código arbitrario. La solución llegó el 1 de junio con las versiones 1.6.11 y 1.5.10 LTS —pero mientras no se apliquen, miles de instalaciones siguen expuestas.
Investigadores de ciberseguridad han revelado detalles de una falla de seguridad crítica en el software de correo web Roundcube, que ha pasado desapercibida durante una década y podría explotarse para controlar sistemas vulnerables y ejecutar código arbitrario.
La vulnerabilidad, identificada como CVE-2025-49113, tiene una puntuación CVSS de 9,9 sobre 10. Se ha descrito como un caso de ejecución remota de código mediante la deserialización de objetos PHP y luego de la autenticación del usuario. "Roundcube Webmail en versiones anteriores a la 1.5.10 y 1.6.x en versiones anteriores a la 1.6.11 permite la ejecución remota de código por parte de usuarios autenticados porque el parámetro _from de una URL no está validado en program/actions/settings/upload.php, lo que provoca la deserialización de objetos PHP".
La falla, que afecta a todas las versiones del software anteriores a la 1.6.10 inclusive, se ha solucionado en las versiones 1.6.11 y 1.5.10 LTS. Kirill Firsov, fundador y director ejecutivo de FearsOff, es reconocido por descubrir y reportar la falla. La empresa de ciberseguridad con sede en Dubái indicó en un breve aviso que publicó detalles técnicos adicionales y una prueba de concepto (PoC) en un video.
Las vulnerabilidades de seguridad previamente reveladas en Roundcube han sido un objetivo lucrativo para actores de amenazas estatales como APT28 y Winter Vivern. El año pasado, Positive Technologies reveló que atacantes no identificados intentaron explotar una falla de Roundcube (CVE-2024-37383) como parte de un ataque de phishing diseñado para robar credenciales de usuario.
Hace un par de semanas, ESET detectó que APT28 había aprovechado vulnerabilidades de secuencias de comandos entre sitios (XSS) en varios servidores de correo web como Roundcube, Horde, MDaemon y Zimbra para recopilar datos confidenciales de cuentas de correo electrónico específicas pertenecientes a entidades gubernamentales y empresas de defensa en Europa del Este.
Positive Technologies, en una publicación en X, afirmó haber logrado reproducir la vulnerabilidad CVE-2025-49113 e instó a los usuarios a actualizar a la última versión de Roundcube lo antes posible.
"Esta vulnerabilidad permite a los usuarios autenticados ejecutar comandos arbitrarios a través de la deserialización de objetos PHP", añadió la empresa rusa de ciberseguridad.
El problema reside en program/actions/settings/upload.php. Al subir ficheros de configuración, Roundcube acepta un parámetro oculto llamado _from. Durante el proceso no se valida su contenido y se pasa directamente a unserialize() de PHP. Eso abre la puerta a un ataque clásico de deserialización de objetos: el atacante fabrica un objeto con un método “mágico” (__wakeup, __destruct, etc.) que se disparará al deserializarse, permitiendo ejecutar comandos en el sistema operativo.
- Requisitos mínimos: basta con poseer una cuenta válida (o credenciales robadas) en Roundcube.
- Impacto: ejecución remota de código con los permisos del servidor web; desde ahí es trivial escalar privilegios o pivotar a otros sistemas.
- Alcance temporal: el código vulnerable existe desde al menos 2015, por lo que instalaciones legacy de Roundcube 1.0–1.6.10 son vulnerables.
- Mitigación: actualizar ya a 1.6.11
o 1.5.10 LTS y restringir el acceso administrativo. También se
recomienda revisar los logs en busca de llamadas sospechosas a
upload.php.
Más información:
- Critical 10-Year-Old Roundcube Webmail Bug Allows Authenticated Users Run Malicious Code – The Hacker News https://thehackernews.com/2025/06/critical-10-year-old-roundcube-webmail.html
- Security updates 1.6.11 and 1.5.10 released – Roundcube.net https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10
- CVE-2025-49113 – NIST NVD https://nvd.nist.gov/vuln/detail/CVE-2025-49113
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.