Roundcube Webmail: Mehr als 10.000 verwundbare Instanzen in Deutschland

Die vergangene Woche bekanntgewordene kritische Sicherheitslücke in Roundcube Webmail wird inzwischen im Netz attackiert. Die Shadowserver Foundation sieht derzeit noch zigtausende verwundbare Instanzen, die frei im Netz zugreifbar sind. IT-Verwalter sollten zügig die verfügbaren Updates herunterladen und installieren.

Auf Mastodon informiert die Shadowserver Foundation über tausende verwundbare Roundcube-Systeme. Sie alle sind anfällig für eine Schwachstelle, durch die authentifizierte User Schadcode einschleusen und ausführen können, da der „_from“-Parameter einer URL in „program/actions/settings/upload.php“ nicht überprüft wird, was zur Deserialisierung von PHP-Objekten führt (CVE-2025-49113 / EUVD-2025-16605, CVSS 9.9, Risiko „kritisch„). Die Sicherheitslücke missbrauchen Kriminelle im Internet, die US-amerikanische IT-Sicherheitsbehörde CISA hat sie deshalb Anfang der Woche in den Katalog der ausgenutzten Schwachstellen (Known Exploited Vulnerabilities Catalogue, KEV) aufgenommen.

Roundcube: Zehntausende anfällige Systeme offen im Netz

Insgesamt sah die Shadowserver Foundation am Mittwoch 66.801 Roundcube-Webmail-Instanzen weltweit, die verwundbar sind. Davon stehen in den USA mehr als 15.000 Systeme, in Indien 12.000 und bereits an dritter Stelle folgt Deutschland mit noch mehr als 10.500 anfälliger Systeme. Insgesamt fiel die Gesamtzahl um rund 18.000 Systeme, am Dienstag der Woche waren weltweit noch knapp 85.000 Systeme mit der Schwachstelle im Netz.

Einige Admins kommen also ihrer Aufgabe nach und patchen die verwundbaren Systeme bereits. IT-Verantwortliche sollten nun dringend das Update auf die nicht mehr verwundbaren Versionen Roundcube 1.5.10 und 1.6.11 oder neuere vornehmen und so ihre Netzwerkumgebung vor Angriffen absichern. Leider nennen die CISA und auch Roundcube keine Indizien für Angriffe (Indicators of Compromise, IOCs), anhand derer Admins prüfen können, ob ihre Systeme bereits (erfolgreich) angegriffen wurden.

(dmk)