Se han descubierto vulnerabilidades de severidad alta en productos Roundcube. Un actor malicioso podría ejecutar código arbitrario, escalar privilegios u obtener información confidencial.
Productos afectados
- Roundcube Webmail versiones anteriores a 1.6.12.
- Roundcube Webmail versiones anteriores a 1.5.12.
Impacto
Las vulnerabilidades se han identificado como:
CVE-2025-68460: con una puntuación de 7.2 en CVSS v3.1. Existe una vulnerabilidad de divulgación de información en el sanitizador de estilos HTML. Un actor malicioso podría acceder a datos no autorizados debido a fallos lógicos en la validación y autorización de las solicitudes de la aplicación.
CVE-2025-68461: con una puntuación de 7.2 en CVSS v3.1. Existe una vulnerabilidad de secuencias de comandos entre sitios almacenada en la etiqueta animate en archivos SVG. Un actor malicioso remoto podría inyectar JavaScript en la sesión de la víctima para robar tokens de acceso o credenciales de sesión.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias