CISA（米国のサイバーセキュリティとインフラストラクチャセキュリティ庁）は先週金曜日、Roundcubeウェブメールソフトウェアで発見された2つの脆弱性を「Known Exploited Vulnerabilities (KEV)」カタログに追加しました。

脆弱性の詳細

CISAが追加した脆弱性は以下の通りです：

• CVE-2025-49113 (CVSSスコア: 9.9): URLの_fromパラメータがプログラム/actions/settings/upload.phpで検証されていないため、認証ユーザーによるリモートコード実行を可能にする未信頼データのデシリアライゼーション脆弱性。
• CVE-2025-68461 (CVSSスコア: 7.2): SVGドキュメント内のanimateタグによるクロスサイトスクリプティング（XSS）脆弱性。

これらの脆弱性は、それぞれ2025年6月と同年12月に修正されました。

FearsOffの発見と影響

ドバイを拠点とするサイバーセキュリティ企業FearsOffのCEO兼共同創設者、キリル・フィロソフ氏は、CVE-2025-49113が公開された後わずか48時間で攻撃者が脆弱性を悪用するためのエクスプロイトを作成し、販売したと報告しています。

対応策

CISAは連邦民事執行機関（FCEB）に対して、これらの脆弱性に対処するために3月13日までに修正を完了するよう要請しました。

元記事: https://thehackernews.com/2026/02/cisa-adds-two-actively-exploited.html