Datenschutz & Sicherheit
Roundcube Webmail: Angriffe auf Sicherheitslücken laufen
Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor Angriffen auf die quelloffene Software Roundcube Webmail. Es handelt sich um eine kritische und eine hochriskante Schwachstelle, die Kriminelle nun offenbar ins Visier nehmen.
Weiterlesen nach der Anzeige
Die Warnung der CISA ist wie üblich äußerst knapp. Angriffe wurden demnach auf eine Schwachstelle bei der Deserialisierung von nicht vertrauenswürdigen Daten (CVE-2025-49113, CVSS 9.9, Risiko „kritisch“) sowie eine Cross-Site-Scripting-Lücke (CVE-2025-68461, CVSS 7.2, Risiko „hoch“) beobachtet. Wie die Angriffe aussehen und in welchem Umfang sie erfolgen, bleibt unklar. IT-Verantwortliche sollten jedoch nicht zögern und auf die jüngste fehlerbereinigte Fassung von RoundCube Webmail aktualisieren.
Die als „kritisch“ eingestufte Sicherheitslücke wurde vom NIST lediglich mit einem CVSS-Wert von 8.8 als hohes Risiko verortet. Allerdings tauchte Anfang Juni vergangenen Jahres bereits ein Beispiel-Exploit auf, der den Missbrauch der Lücke demonstriert. Angreifer können durch die Schwachstelle beliebige Befehle auf verwundbaren Systemen ausführen. Dazu ist ein gültiges Mailkonto nötig. Diese Sicherheitslücke hat Roundcube Webmail 1.5.10 und 1.6.11 geschlossen.
Roundcube Webmail: Zwei attackierte Sicherheitslücken
Die zweite Sicherheitslücke wurde kurz vor Weihnachten bekannt. Sie ermöglicht Cross-Site-Scripting-Angriffe. Die Schwachstelle betrifft die Verarbeitung des „Animate“-Tag in SVG-Dateien. Auch hier hat das NIST zunächst eine Einstufung als mittleres Risiko mit einem CVSS-Wert von 6.1 abgegeben, MITRE hingegen sieht ein hohes Risiko mit der Gefahrenstufe „hoch“ und einem CVSS-Wert 7.2. Die beobachteten Angriffe sprechen offenbar für letztere Einschätzung.
IT-Verantwortliche sollten ihre Systeme absichern, indem sie zumindest auf die fehlerkorrigierten Versionen 1.5.12 und 1.6.12 installieren. Darin haben die Entwickler die Cross-Site-Scripting-Lücke geschlossen. Hinweise für erfolgreiche Angriffe (Indicators of Compromise, IOCs) liefert die CISA ebenfalls nicht, mit denen Admins prüfen könnten, ob ihre Instanzen attackiert wurden.
(dmk)