CISA предупреждает об активной эксплуатации уязвимостей в Roundcube

Киберпространство вновь оказалось под прицелом. В центре внимания злоумышленников - фундаментальное программное обеспечение для корпоративной и частной коммуникации: почтовый клиент Roundcube Webmail. 20 февраля 2026 года Агентство по кибербезопасности и защите инфраструктуры США (CISA) внесло две новые критические уязвимости в этот популярный веб-клиент в свой каталог активно эксплуатируемых уязвимостей (Known Exploited Vulnerabilities). Данный шаг, основанный на доказательствах реальных атак, является прямым сигналом для администраторов по всему миру: системы, не обновленные до актуальной версии, превращаются в открытые двери для компрометации целых сетей, включая государственные.

Детали уязвимостей

Добавленные уязвимости, получившие идентификаторы CVE-2025-49113 и CVE-2025-68461, представляют собой классическую, но от того не менее опасную комбинацию угроз. Первая из них, CVE-2025-49113, с максимально возможным баллом критичности 9.9 по шкале CVSS, является уязвимостью небезопасной десериализации. Проще говоря, этот недостаток позволяет злоумышленнику, отправив специально сформированное письмо с вложением или заполнив определенное поле в интерфейсе, заставить сервер выполнить произвольный вредоносный код. Для этого даже не требуется аутентификация пользователя. Проблема кроется в неправильной проверке входящих данных в обработчике PHP и затрагивает все версии Roundcube ранее 1.6.10.

В свою очередь, вторая уязвимость, CVE-2025-68461, с оценкой 6.1, относится к классу межсайтового скриптинга (XSS), но с устойчивым характером. Её опасность заключается в том, что злонамеренный скрипт может быть внедрен непосредственно в тело электронного письма. При открытии такого письма другим пользователем скрипт выполняется в его браузере в контексте сессии Roundcube, что позволяет похитить учётные данные, cookies или инициировать дальнейшую атаку. Учитывая, что Roundcube развернут на миллионах серверов по всему миру, часто в составе хостинг-панелей или корпоративных почтовых систем, масштаб потенциального воздействия сложно переоценить.

По данным организации Shadowserver, за последний месяц сканирование интернета в поиске открытых экземпляров Roundcube выросло на 300%, а доказательства концепций эксплуатации уже фигурируют на подпольных форумах.

Непропатченный почтовый сервер сегодня - это не просто риск потери писем. Это потенциальная точка входа для программ-вымогателей, катализатор масштабной утечки конфиденциальной переписки и персональных данных, а также плацдарм для сложных целевых атак, в том числе со стороны APT-групп (Advanced Persistent Threat, устойчивые целевые угрозы). Особенно уязвимы хостинг-провайдеры с мультитенантными окружениями, где одна скомпрометированная установка может привести к заражению сотен клиентских аккаунтов.

Что же делать администраторам в данной ситуации? Во-первых, необходимо незамедлительно обновить все экземпляры Roundcube Webmail до версии 1.6.10 или выше, где обе проблемы устранены за счет усиления санитизации ввода и проверок сериализации. Во-вторых, критически важно провести инвентаризацию и отключить все неиспользуемые или непроверенные плагины, которые могут расширять поверхность атаки. В качестве временной меры защиты до момента обновления рекомендуется задействовать межсетевые экраны веб-приложений (WAF), способные блокировать известные векторы атак, связанные с десериализацией и XSS. Наконец, необходим тщательный анализ журналов событий на предмет подозрительных ошибок, связанных с обработкой вложений или попытками выполнения скриптов.

Таким образом, предупреждение CISA - это не формальность, а четкий индикатор перехода угрозы из теоретической в практическую плоскость. В условиях, когда электронная почта остается кровеносной системой любого бизнеса, безопасность её веб-интерфейса является вопросом фундаментальной устойчивости организации. Промедление с установкой патчей в данном случае равносильно сознательному допуску злоумышленника в самый центр корпоративных коммуникаций.

Детали уязвимостей

Ссылки