Roundcube Webmail, o cliente de e-mail baseado na web que há anos acompanha milhões de servidores e que desde 2008 se integra como interface padrão em cPanel, voltou a situar-se no centro da atenção por razões que qualquer responsável por sistemas deveria levar a sério. A Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA (CISA) acrescentou recentemente duas falhas do Roundcube ao seu catálogo de vulnerabilidades exploradas na natureza e deu instruções rigorosas para que as agências federais apliquem adesivos com urgência.
O primeiro erro assinalado permite a execução remota de código e aparece registrado como CVE-2025-49113. Foi adesivo pelos responsáveis do Roundcube, mas pesquisadores e organizações de monitoramento detectaram exploração pouco depois de a correção ser publicada, o que motivou alertas públicos sobre dezenas de milhares de instalações expostas. O segundo problema, CVE-2025-68461, é uma vulnerabilidade de cross-site scripting (XSS) que abusa da etiqueta animate em documentos SVG e que também tem adesivo disponível desde as versões que Roundcube publicou para corrigi-la.
Para contextualizar a magnitude do risco: motores de busca orientados para dispositivos conectados à Internet como Shodan mostram dezenas de milhares de instâncias do Roundcube acessíveis da rede pública – um número que indica o enorme alcance potencial de qualquer vulnerabilidade crítica neste software. A pesquisa pública de Shodan relacionada ao Roundcube pode ser consultada aqui.
CISA formalizou a preocupação em um alerta oficial que incluiu ambas as falhas em sua Comunicação pública e acrescentou as entradas ao Catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), uma lista que a agência usa para priorizar ações defensivas no setor público. Além disso, CISA lembrou que existem outras vulnerabilidades históricas no Roundcube que foram aproveitadas por atores maliciosos, e por isso incluiu essa família de falhas em seu seguimento contínuo.
A resposta do governo federal foi rápida em termos de exigência: através da directiva operacional vinculativa conhecida como BOD 22-01, foi ordenado às agências civis federais que completem as mitigações necessárias no prazo de três semanas. Essa pressa não é casual: as vulnerabilidades em interfaces de e-mail web são atraentes para criminosos e grupos patrocinados por estados porque oferecem acesso relativamente direto a conversas e credenciais, e porque muitas instalações continuam expostas durante longos períodos.
Os responsáveis pelo Roundcube publicaram correcções que as organizações devem adoptar quanto mais cedo; as versões correctas para os ramos suportados estão disponíveis nos canais oficiais do projeto e nos repositórios de lançamento. Se você administra servidores com Roundcube, é imprescindível atualizar as versões que incluem os adesivos, revisar registros em busca de possíveis acessos não autorizados e minimizar a exposição pública da interface quando possível. Para acessar as publicações e versões oficiais, você pode consultar o repositório de lançamentos do projeto no GitHub: Roundcube - Releases.
Não é a primeira vez que Roundcube serve de vetor para campanhas sofisticadas. Historicamente, atores com motivações políticas ou criminosos exploraram falhas deste software para espiar administrações e organizações. Este padrão - o público, o adesivo e a exploração em poucos dias - sublinha uma realidade simples, mas dolorosa: a janela entre a publicação de um adesivo e a sua implantação eficaz continua a ser o principal ponto fraco na segurança de muitas infra-estruturas.
De um ponto de vista prático, actualizar o mais rapidamente possível é a medida essencial. Além disso, é conveniente endurecer a exposição de interfaces web de correio através de regras de acesso, autenticação forte, monitoramento de logs e análise de indicadores de compromisso. Também é recomendável que os responsáveis pela segurança consultem fontes de inteligência e catálogos oficiais, como a lista de CISA acima mencionada, para priorizar ações segundo o risco real e a presença do software em seu ambiente.
A lição que este episódio deixa é clara: até mesmo ferramentas amplamente implantadas e de longa trajetória podem se tornar um risco sistémico se as atualizações não forem aplicadas rapidamente e se a telemetria sobre sua exposição não for integrada nos processos de segurança. Manter o software por dia, reduzir a superfície exposta e monitorar ativamente os ambientes são práticas que, em conjunto, fazem a diferença entre um adesivo que protege e um adesivo que chega tarde demais.
Fontes e leituras recomendadas: a entrada de CISA sobre a inclusão dessas vulnerabilidades em seu catálogo aqui, detalhes técnicos no National Vulnerability Database para CVE-2025-49113 e CVE-2025-68461, a busca pública de instâncias do Roundcube em Shodan e o repositório oficial de lançamentos do Roundcube GitHub.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...