Uma vulnerabilidade crítica no webmail Roundcube ameaça mais de 84 mil servidores ao redor do mundo, com código de exploração já em circulação. A falha, identificada como CVE-2025-49113, afeta versões mantidas há mais de uma década e já está sendo explorada ativamente por cibercriminosos.
Mais de 84 mil servidores Roundcube estão expostos a falha crítica com exploração ativa
Exploração do CVE-2025-49113 e o impacto global
O Roundcube, popular cliente de webmail baseado em PHP, é amplamente utilizado por provedores de hospedagem como GoDaddy, Hostinger e OVH, bem como por instituições governamentais, educacionais e do setor privado. A vulnerabilidade CVE-2025-49113 foi descoberta por Kirill Firsov, pesquisador de segurança, e afeta as versões entre 1.1.0 e 1.6.10. O problema reside na falta de validação da entrada $_GET['_from'], o que permite a desserialização maliciosa de objetos PHP e corrupção da sessão.
Poucos dias após o lançamento da correção oficial em 1º de junho de 2025, atacantes já haviam realizado engenharia reversa do patch e desenvolvido um exploit funcional, que circula em fóruns clandestinos.
Apesar de a exploração exigir autenticação, os atacantes alegam ser possível obter credenciais por meio de CSRF, leitura de logs ou ataques de força bruta.
Mais de 84 mil instâncias vulneráveis detectadas
De acordo com um levantamento realizado pela The Shadowserver Foundation, mais de 84.925 instâncias públicas do Roundcube ainda estavam vulneráveis em 8 de junho de 2025. O mapa global de exposição mostra que os países mais afetados são:
- Estados Unidos: 19.500 instâncias
- Índia: 15.500
- Alemanha: 13.600
- França: 3.600
- Canadá: 3.500
- Reino Unido: 2.400
Esse cenário de exposição maciça representa um risco elevado à segurança da informação, especialmente considerando o potencial para roubo de dados, sequestro de sessões e movimentações laterais dentro de redes comprometidas.
Medidas urgentes de mitigação recomendadas
A atualização para as versões 1.6.11 e 1.5.10 do Roundcube é fortemente recomendada, pois essas corrigem diretamente o CVE-2025-49113. Caso a atualização imediata não seja viável, administradores devem adotar medidas de contenção emergenciais, como:
- Restringir o acesso externo ao webmail
- Desativar o upload de arquivos
- Aplicar proteção contra CSRF
- Desabilitar funções PHP arriscadas
- Monitorar logs e indicadores de exploração
Além disso, a publicação técnica de Kirill Firsov fornece detalhes valiosos sobre a vulnerabilidade e pode ser útil na implementação de defesas mais eficazes.
Um problema recorrente no ecossistema de software PHP
A desserialização insegura de objetos em PHP é uma falha conhecida e recorrente em aplicações que não implementam sanitização adequada de entrada. O caso do Roundcube remete a vulnerabilidades similares exploradas em plugins de WordPress e em aplicações como Drupal, o que reforça a importância de boas práticas de desenvolvimento seguro.
Perspectivas e atenção contínua
Ainda não há confirmação oficial de ataques em larga escala, mas a velocidade com que o exploit foi disponibilizado é um sinal de alerta. Com dezenas de milhares de instâncias vulneráveis ainda expostas, o CVE-2025-49113 pode se tornar uma das falhas mais exploradas do ano se os administradores não agirem rapidamente.
Dado o histórico de incidentes com plataformas de webmail, é crucial que as equipes de TI priorizem essa atualização e revisem suas políticas de segurança para evitar futuras exposições.
