CISA dodaje dwie aktywnie wykorzystywane luki w Roundcube do KEV: krytyczne RCE (CVSS 9.9) i XSS przez SVG

Wprowadzenie do problemu / definicja luki

Amerykańska agencja CISA dodała do katalogu Known Exploited Vulnerabilities (KEV) dwie podatności w popularnym webmailu Roundcube, wskazując na aktywne wykorzystanie w atakach.
KEV to praktyczna lista luk „priorytetowych”, które – z perspektywy obrony – należy traktować jako pilne, bo istnieją dowody exploitacji w środowisku produkcyjnym.

W skrócie

• CVE-2025-49113 (CVSS 9.9): RCE po uwierzytelnieniu poprzez deserializację obiektów PHP, wynikającą z braku walidacji parametru _from w ścieżce obsługi uploadu ustawień.
• CVE-2025-68461 (CVSS 7.2): XSS możliwy przez element <animate> w złośliwie przygotowanym SVG.
• Według relacji cytowanej w mediach, podatność RCE miała zostać szybko „zróżnicowana” (diff) i uzbrojona po upublicznieniu.
• Dla agencji FCEB CISA wyznaczyła termin remediacji do 13 marca 2026 (co jest dobrym punktem odniesienia dla reszty rynku: „patch ASAP”).

Kontekst / historia / powiązania

Roundcube jest wdrażany masowo (self-hosted, często na klasycznych hostingach), bywa integrowany z różnymi panelami i środowiskami współdzielonymi. Taki profil (duża baza instalacji, nierówna higiena aktualizacji, publiczna ekspozycja) sprawia, iż luki w webmailach gwałtownie trafiają do łańcuchów ataku: od przejęć skrzynek i sesji, po eskalację na serwerze.

Analiza techniczna / szczegóły luki

CVE-2025-49113 — RCE po uwierzytelnieniu przez deserializację PHP

Opis NVD wskazuje, iż problem wynika z niewalidowanego parametru _from w adresie URL w komponencie program/actions/settings/upload.php, co prowadzi do PHP Object Deserialization i finalnie do zdalnego wykonania kodu dla użytkownika uwierzytelnionego.
Wersje podatne: „Roundcube Webmail przed 1.5.10 oraz gałąź 1.6.x przed 1.6.11”.

Dlaczego to groźne mimo „post-auth”?

• „Post-auth” w webmailu często oznacza, iż atakujący potrzebuje jakiegokolwiek konta (np. przejętego hasła, konta testowego, konta o słabym haśle, konta założonego przez self-service).
• Jeśli Roundcube działa na serwerze współdzielącym zasoby (np. z innymi usługami), RCE bywa punktem wyjścia do dalszej eskalacji (kradzież konfiguracji, pivot, backdoory).

CVE-2025-68461 — XSS przez SVG i tag <animate>

NVD opisuje podatność jako XSS w Roundcube „przed 1.5.12 i 1.6 przed 1.6.12”, możliwy przez animate w dokumencie SVG.
W praktyce wektory mogą obejmować m.in. osadzenie/wyświetlenie złośliwego SVG w interfejsie webmaila (np. jako załącznik lub element renderowany przez UI), co umożliwia uruchomienie kodu w kontekście sesji ofiary.

Roundcube opublikował poprawki w aktualizacjach bezpieczeństwa 1.6.12 i 1.5.12, explicite wskazując fix XSS związany z animate w SVG.
W Polsce CERT Polska komunikował tę lukę jako istotne ryzyko przejęcia zawartości skrzynek lub sesji użytkowników.

Praktyczne konsekwencje / ryzyko

Scenariusze realne dla organizacji:

• RCE (CVE-2025-49113): przejęcie serwera webmaila, kradzież plików konfiguracyjnych, dostęp do baz danych, implanty do trwałej kontroli, pivot do sieci wewnętrznej.
• XSS (CVE-2025-68461): kradzież sesji, tokenów, wykonywanie akcji w imieniu użytkownika (np. reguły przekierowań, exfil maili), potencjalny dostęp do korespondencji i książek adresowych.
• Wspólny mianownik: Roundcube to często „brama” do tożsamości (reset haseł, MFA recovery, potwierdzenia logowań), więc kompromitacja webmaila gwałtownie promieniuje na inne systemy.

Rekomendacje operacyjne / co zrobić teraz

1. Natychmiast aktualizuj Roundcube do wersji naprawionych
   • Dla RCE: co najmniej 1.5.10 oraz 1.6.11 (lub nowsze w danej gałęzi).
   • Dla XSS: co najmniej 1.5.12 / 1.6.12 (lub nowsze) – Roundcube publikuje to jako „security updates”.
2. Potraktuj to jako incydent, jeżeli masz podejrzenia exploitacji
   • Przejrzyj logi HTTP pod kątem nietypowych żądań do ścieżek związanych z ustawieniami/uploadem oraz anomalii po stronie PHP. (Konkretne IOC zależą od środowiska i nie zawsze są publiczne, ale logika detekcji na poziomie „dziwne sekwencje/parametry do upload.php” jest sensowna przy RCE przez parametr URL).
3. Ogranicz powierzchnię ataku
   • Wystawiaj webmail tylko tam, gdzie to konieczne; rozważ ograniczenia geograficzne/VPN/SSO z MFA.
   • Separuj Roundcube od reszty infrastruktury (segmentacja, minimalne uprawnienia do bazy/IMAP, odrębny host/VM/kontenery).
4. Szybka higiena kont
   • Wymuś MFA/2FA tam, gdzie to możliwe (często przez IdP/SSO), usuń nieużywane konta, zresetuj hasła kont „serwisowych” i sprawdź reguły przekierowań oraz filtry w skrzynkach (typowy ślad kompromitacji).
5. Zarządzanie priorytetami jak w KEV
   • Skoro CISA uznała luki za aktywnie wykorzystywane i wskazała termin remediacji dla administracji (FCEB) na 13.03.2026, to w organizacjach komercyjnych sensownym standardem jest „patch w trybie pilnym”, najlepiej w dniach, nie tygodniach.

Różnice / porównania z innymi przypadkami

• RCE w webmailu zwykle oznacza ryzyko „pełnej kompromitacji hosta”, a nie tylko skrzynki. To jakościowo inna klasa zagrożenia niż klasyczne błędy w UI.
• XSS bywa „cichsze”, ale w webmailu potrafi prowadzić do trwałej kradzieży korespondencji (np. przez reguły przekierowań i tokeny sesji), co dla działów prawnych/finansowych jest równie krytyczne.

Podsumowanie / najważniejsze wnioski

• CISA wskazała na aktywne wykorzystanie dwóch luk Roundcube i dodała je do KEV, co w praktyce oznacza: wdrażaj poprawki natychmiast.
• CVE-2025-49113 to krytyczne post-auth RCE przez deserializację PHP – szczególnie groźne w środowiskach z dużą liczbą kont i publiczną ekspozycją webmaila.
• CVE-2025-68461 to XSS przez SVG <animate> – realne ryzyko przejęcia sesji i zawartości skrzynek, co podkreśla także CERT Polska.
• Minimalny standard: aktualizacja do wersji naprawionych + szybki przegląd logów i artefaktów kompromitacji.

Źródła / bibliografia

1. The Hacker News – „CISA Adds Two Actively Exploited Roundcube Flaws to KEV Catalog” (21.02.2026) (The Hacker News)
2. NVD – CVE-2025-49113 (Roundcube RCE, deserializacja PHP) (NVD)
3. NVD – CVE-2025-68461 (Roundcube XSS przez SVG animate) (NVD)
4. Roundcube.net – „Security updates 1.6.12 and 1.5.12 released” (13.12.2025) (roundcube.net)
5. CERT Polska (moje.cert.pl) – komunikat o CVE-2025-68461 (19.12.2025) (moje.cert.pl)