heise PlusAbo
Anzeige
Alert!

Roundcube Webmail: Angriffe auf Sicherheitslücken laufen

Die IT-Sicherheitsbehörde CISA warnt vor aktuell beobachteten Angriffen auf Roundcube-Webmail-Schwachstellen. Admins sollten updaten.

vorlesen Druckansicht 9 Kommentare lesen
Mails und Briefumschläge vor Laptop

(Bild: Michael Traitov/Shutterstock.com)

Lesezeit: 2 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor Angriffen auf die quelloffene Software Roundcube Webmail. Es handelt sich um eine kritische und eine hochriskante Schwachstelle, die Kriminelle nun offenbar ins Visier nehmen.

Die Warnung der CISA ist wie üblich äußerst knapp. Angriffe wurden demnach auf eine Schwachstelle bei der Deserialisierung von nicht vertrauenswürdigen Daten (CVE-2025-49113, CVSS 9.9, Risiko „kritisch“) sowie eine Cross-Site-Scripting-Lücke (CVE-2025-68461, CVSS 7.2, Risiko „hoch“) beobachtet. Wie die Angriffe aussehen und in welchem Umfang sie erfolgen, bleibt unklar. IT-Verantwortliche sollten jedoch nicht zögern und auf die jüngste fehlerbereinigte Fassung von RoundCube Webmail aktualisieren.

Die als „kritisch“ eingestufte Sicherheitslücke wurde vom NIST lediglich mit einem CVSS-Wert von 8.8 als hohes Risiko verortet. Allerdings tauchte Anfang Juni vergangenen Jahres bereits ein Beispiel-Exploit auf, der den Missbrauch der Lücke demonstriert. Angreifer können durch die Schwachstelle beliebige Befehle auf verwundbaren Systemen ausführen. Dazu ist ein gültiges Mailkonto nötig. Diese Sicherheitslücke hat Roundcube Webmail 1.5.10 und 1.6.11 geschlossen.

Roundcube Webmail: Zwei attackierte Sicherheitslücken

Die zweite Sicherheitslücke wurde kurz vor Weihnachten bekannt. Sie ermöglicht Cross-Site-Scripting-Angriffe. Die Schwachstelle betrifft die Verarbeitung des „Animate“-Tag in SVG-Dateien. Auch hier hat das NIST zunächst eine Einstufung als mittleres Risiko mit einem CVSS-Wert von 6.1 abgegeben, MITRE hingegen sieht ein hohes Risiko mit der Gefahrenstufe „hoch“ und einem CVSS-Wert 7.2. Die beobachteten Angriffe sprechen offenbar für letztere Einschätzung.

Videos by heise

IT-Verantwortliche sollten ihre Systeme absichern, indem sie zumindest auf die fehlerkorrigierten Versionen 1.5.12 und 1.6.12 installieren. Darin haben die Entwickler die Cross-Site-Scripting-Lücke geschlossen. Hinweise für erfolgreiche Angriffe (Indicators of Compromise, IOCs) liefert die CISA ebenfalls nicht, mit denen Admins prüfen könnten, ob ihre Instanzen attackiert wurden.

(dmk)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten