CISA 将两个已被积极利用的 Roundcube 漏洞加入 KEV 目录

Source: The Hacker News

添加至 KEV 目录的漏洞

美国网络安全与基础设施安全局（CISA）将两个正在被积极利用、影响 Roundcube Webmail 软件的漏洞加入其 已知被利用漏洞（KEV） 目录，并指出有持续利用的证据。

• CVE‑2025‑49113 – CVSS 9.9
  对不受信任数据的反序列化，导致已认证用户能够远程代码执行，因为 program/actions/settings/upload.php 中的 from 参数未进行验证。已在 2025 年 6 月的版本中修复。

• CVE‑2025‑68461 – CVSS 7.2
  跨站脚本（XSS），通过 SVG 文档中的 animate 标签实现。已在 2025 年 12 月的版本中修复。

利用活动

总部位于迪拜的网络安全公司 FearsOff，其创始人 Kirill Firsov 报告了 CVE‑2025‑49113，证实攻击者在漏洞公开披露后 48 小时内就已“diff 并武器化该漏洞”。随后在 2025 年 6 月 4 日提供了可供出售的利用代码。

Firsov 指出，该缺陷在默认安装环境下可可靠触发，且在代码库中潜伏了超过十年。虽然目前利用该漏洞的具体行为者尚不明朗，但此前已有多个 Roundcube 漏洞被国家级组织如 APT28 和 Winter Vivern 武器化。

修复时间表

联邦平民行政部门（FCEB）机构必须在 2026 年 3 月 13 日 前修复上述漏洞，以保护其网络免受活跃威胁。