BEDROHUNG
Die US-Behörde CISA hat zwei RoundCube-Schwachstellen in den Known Exploited Vulnerabilities (KEV)-Katalog aufgenommen. Für beide stehen Patches bereit.
Bei CVE-2025-49113 handelt es sich um eine kritische Remote-Code-Execution-Lücke (RCE), die bereits im Juni 2025 gepatcht wurde – wenige Tage bevor die CISA sie als aktiv ausgenutzt markierte.
Die zweite Schwachstelle, CVE-2025-68461, erlaubt unauthentifizierten Angreifern Cross-Site-Scripting (XSS) über das Animate-Tag in SVG-Dokumenten. Ein Patch steht seit Dezember 2025 zur Verfügung.
Betroffene Stellen haben nach der CISA-Einstufung drei Wochen Zeit, die Updates einzuspielen. Konkrete technische Details zu den aktuellen Angriffen veröffentlichte die CISA nicht. In der Vergangenheit wurden bereits Angriffe auf verschiedene RoundCube-Schwachstellen beobachtet, unter anderem durch die russische Hacker-Gruppe Winter Vivern.
Abwehrmaßnahmen
- Umgehend patchen
o https://www.bleepingcomputer.com/news/security/critical-solarwinds-serv-u-flaws-offer-root-access-to-servers/
o https://dbugs.ptsecurity.com/vulnerability/PT-2026-21667
Cyber Security Monitoring - 24/7 Schutz
Autor: Michael Niers
