概要

CISAは2026年2月20日、そのKnown Exploited Vulnerabilities (KEV) カタログにRoundcube Webmailの2つの重大な脆弱性を追加しました。これらの脆弱性（CVE-2025-49113とCVE-2025-68461）は既に攻撃者によって悪用されており、組織が迅速に対策を講じる必要があると強調しています。

脆弱性の詳細

CVE-2025-49113は不適切な入力検証により、攻撃者がリモートで任意のコードを実行できる可能性があります。この脆弱性はRoundcube Webmailバージョン1.6.10以前に影響を与えます。

CVE-2025-68461はメールコンテンツを通じて悪意のあるスクリプトが注入され、ユーザーのブラウザで実行される可能性があるストアド型クロスサイトスクリプティング（XSS）脆弱性です。これによりセッションハイジャックやデータ窃取などの深刻な脅威が発生します。

影響範囲

Roundcube Webmailは世界中の組織で広く使用されており、特に企業やホスティング環境において重要な役割を果たしています。これらの脆弱性の悪用により、連邦ネットワークだけでなく民間セクターにも深刻な脅威が及ぶ可能性があります。

対策

CISAは、これらの脆弱性に対処するための具体的な手順を示しています：

• アップデート：Roundcube Webmailを最新バージョン（1.6.10以上）に更新すること。
• スキャン：公開されているRoundcubeインスタンスのスキャンを行い、脆弱性が存在するかどうか確認すること。
• WAFの設定：Web Application Firewall (WAF) を使用して一時的な保護を提供すること。
• ログのレビュー：不適切なデシリアライゼーションエラーまたはXSSペイロードを含むログを確認し、異常がないかチェックすること。

CISAによる対応

CISAはこれらの脆弱性に対処するためのBinding Operational Directive (BOD) 22-01を発行しており、連邦民事執行機関がこれらの脆弱性を修正する期限を設けています。ただし、この指針は政府組織だけでなく民間セクターにも適用されるべきであるとCISAは強調しています。

結論

Roundcube Webmailの脆弱性は深刻な脅威であり、迅速に対策を講じることが重要です。組織はこれらの脆弱性を修正し、セキュリティ上のリスクを最小限に抑えるために必要な措置を講じるべきです。

---

元記事: https://gbhackers.com/cisa-exploited-roundcube-vulnerabilities/