概要

CISA（米国のサイバーセキュリティとインフラストラクチャセキュリティ庁）は、政府や高等教育で広く使用されているRoundcube Webmailの脆弱性を追跡するCVE番号（CVE-2025-49113およびCVE-2025-68461）を、その「既知の悪用された脆弱性」カタログに追加しました。

詳細

セキュリティ研究者によると、脅威アクターは、約10年間隠れていたRoundcube Webmailのデシリアライゼーション脆弱性（CVE-2025-49113）を標的としています。この脆弱性は深刻度スコアが9.9と評価されています。

影響

watchTowrのプロアクティブ脅威インテリジェンス部長であるRyan Dewhurst氏は、Cybersecurity Diveに次のように述べています。「Roundcubeはこのゲームには慣れている。広く使用されていることとウェブメールサービスが金鉱山であるという単純な理由から、実世界の悪用キャンペーンで何度も標的となっています。

対策

• CVE-2025-49113は6月に公開され、Shadowserverによると約84,000のインスタンスが脆弱性を抱えていると報告されました。
• 第二の脆弱性CVE-2025-68461はクロスサイトスクリプティング（XSS）脆弱性に関連しており、12月に修正パッチが提供されています。

Roundcubeは12月のアドバイザリでユーザーに対して修正版へのアップデートを強く推奨しています。

元記事: https://www.cybersecuritydive.com/news/hackers-target-vulnerabilities-in-roundcube-webmail/812839/