Roundcube Webmail, der Web-basierte Mail-Client, der seit Jahren mit Millionen von Servern und seit 2008 als Standard-Schnittstelle in cPanel integriert ist, wurde aus Gründen, die jeder Systemmanager ernst nehmen sollte, wieder im Mittelpunkt der Aufmerksamkeit gestellt. Die United States Infrastructure and Cybersecurity Agency (CISA) fügte kürzlich zwei Roundcube-Versagen in ihren Katalog von naturbelassenen Sicherheitslücken hinzu und gab strenge Anweisungen für Bundesbehörden, Patches dringend anzuwenden.
Der erste festgestellte Fehler ermöglicht die Ausführung von Remote-Code und wird als CVE-2025-49113. Es wurde von den Beamten von Roundcube gepatelt, aber Forscher und Überwachungsorganisationen entdeckten die Ausbeutung kurz nach der Veröffentlichung der Korrektur, die öffentliche Ausschreibungen auf zehntausende von exponierten Einrichtungen motivierte. Das zweite Problem, CVE-2025-68461, ist eine Schwachstelle von cross-site scribing (XSS), die das animate Label in SVG-Dokumenten missbraucht und das hat auch Patch von den Versionen, die Roundcube veröffentlicht, um es zu korrigieren.
Um die Größe des Risikos zu kontextualisieren: Suchmaschinen, die auf internetgebundene Geräte wie Shodan ausgerichtet sind, zeigen Zehntausende von Roundcube-Instanzen, die aus dem öffentlichen Netzwerk zugänglich sind - eine Figur, die den enormen Potentialumfang einer kritischen Schwachstelle in dieser Software anzeigt. Sehen Sie die öffentliche Suche nach Shodan im Zusammenhang mit Roundcube Hier..
Die CISA formierte die Besorgnis in einer offiziellen Ausschreibung, in der sie beide Fehler in ihrer Öffentliche Kommunikation und die Einträge in die Ein Katalog bekannter und ausgenutzter Schwachstellen (KEV), eine Liste der Agentur verwendet, um Verteidigungsmaßnahmen im öffentlichen Sektor zu priorisieren. Darüber hinaus erinnerte die CISA daran, dass es andere historische Sicherheitslücken in Roundcube, die von bösartigen Akteuren ausgenutzt wurden, und das ist der Grund, warum sie diese Familie von Misserfolgen in ihre kontinuierliche Folge.
Die Antwort der Bundesregierung war schnell in Bezug auf die Nachfrage: durch die verbindliche operative Richtlinie bekannt als BOD 22-01 Bundesbehörden wurden aufgefordert, die notwendige Minderung innerhalb von drei Wochen abzuschließen. Diese Eile ist nicht lässig: Schwachstellen in Web-Mail-Schnittstellen sind attraktiv für kriminelle und staatlich unterstützte Gruppen, weil sie relativ direkten Zugang zu Gesprächen und Anmeldeinformationen bieten, und weil viele Einrichtungen für lange Zeit ausgesetzt bleiben.
Roundcube-Beamte veröffentlichten Korrekturen, die Organisationen so bald wie möglich übernehmen müssen; die Korrekturversionen für die unterstützten Zweige sind auf den offiziellen Projektkanälen und in den Start-Repositorien verfügbar. Wenn Sie Roundcube-Server verwalten, ist es wichtig, die Versionen, die Patches enthalten, überprüfen Aufzeichnungen für einen möglichen unberechtigten Zugriff und minimieren die öffentliche Belichtung der Schnittstelle, wo möglich. Das Projektstart-Repository in GitHub steht für den Zugriff auf Publikationen und offizielle Versionen zur Verfügung: Roundcube - Pressemitteilungen.
Dies ist nicht das erste Mal, dass Roundcube als Vektor für anspruchsvolle Kampagnen diente. Historisch haben Akteure mit politischen oder kriminellen Motivationen Fehler dieser Software ausgenutzt, um Verwaltungen und Organisationen zu spionieren. Dieses Muster - öffentliches Versagen, Patch und Betrieb in wenigen Tagen - zeigt eine einfache, aber schmerzhafte Realität: Das Fenster zwischen der Veröffentlichung eines Patches und seiner effektiven Bereitstellung bleibt die Hauptschwäche in der Sicherheit vieler Infrastrukturen.
Aus praktischer Sicht ist die Aktualisierung so bald wie möglich die wesentliche Maßnahme. Darüber hinaus ist es angebracht, die Exposition von Web-Mail-Schnittstellen durch Zugriffsregeln, starke Authentifizierung, Protokollüberwachung und Verpflichtungsindikatoren Analyse zu verschärfen. Es wird auch empfohlen, dass Sicherheitsbeamte offizielle Informationsquellen und Kataloge, wie die oben erwähnte CISA-Liste, konsultieren, um Aktionen zu priorisieren, die auf dem realen Risiko und dem Vorhandensein der Software in ihrer Umgebung beruhen.
Die Lektion, die diese Folge hinterlässt, ist klar: Auch weit verbreitete und langjährige Werkzeuge können zu einem systemischen Risiko werden, wenn die Updates nicht schnell angewendet werden und wenn die Telemetrie bei ihrer Exposition nicht in die Sicherheitsprozesse integriert ist. Die Software auf dem neuesten Stand zu halten, die Oberfläche zu reduzieren und die Umgebungen aktiv zu überwachen sind praktisch, dass zusammen den Unterschied zwischen einem geschützten Patch und einem Patch, der zu spät kommt.
Empfohlene Quellen und Lesungen: Eingang des CISA zur Aufnahme dieser Schwachstellen in seinen Katalog Hier., technische Details in der National Vulnerability Datenbank für CVE-2025-49113 und CVE-2025-68461, die öffentliche Suche nach Roundcubes Shodan und das offizielle Roundcube Launch Repository in GitHub.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...