CISA ostrzega przed lukami w Roundcube – czas na pilne aktualizacje

Masz Roundcube na serwerze? CISA właśnie przypomniała, że webmail to wciąż frontowe drzwi do twojej sieci – i ktoś nauczył się otwierać je szybciej niż ty zamykasz.

Amerykańska CISA dodała dwie świeżo łatane, ale już aktywnie wykorzystywane luki w Roundcube Webmail do katalogu KEV. Agencje federalne mają czas do 13 marca 2026 r. na załatanie. Stawka jest realna: krytyczne zdalne wykonanie kodu (RCE) po stronie serwera oraz XSS, który wykrada sesje i dane, to idealny zestaw dla atakujących polujących na skrzynki i dostęp do reszty sieci.

KEV to nie lista „może kiedyś”, tylko „już teraz” – błędów potwierdzonych w nadużyciach. A Roundcube bywa domyślnym interfejsem poczty w popularnym cPanelu od 2008 roku. W skrócie: powszechna powierzchnia ataku i łatwy wektor wejścia. BOD 22-01 zobowiązuje amerykańskie agencje cywilne do priorytetowego łatania takich luk, ale sens tej dyscypliny dotyczy wszystkich.

O co chodzi

• CVE-2025-49113 – deserializacja niezaufanych danych prowadząca do RCE. Błąd wynika z braku walidacji parametru _from w upload.php; możliwy do wyzwolenia przez uwierzytelnionych użytkowników. Łatki opublikowano w czerwcu 2025 r. [5]
• CVE-2025-68461 – XSS poprzez tag animate w dokumentach SVG. Problem załatano w grudniu 2025 r. w wydaniach 1.6.12 i 1.5.12. [4]

Obie luki są już wykorzystywane w atakach, co automatycznie przenosi je z kategorii „ładne CVE na slajdzie” do „pilne działanie”.

Kontekst: webmail jako przepustka

Roundcube to otwartoźródłowy klient poczty używany globalnie – nie tylko w małych hostingach, ale też w instancjach korporacyjnych i administracji. Skala ekspozycji jest trudna do policzenia, ale skanery widzą dziesiątki tysięcy instalacji dostępnych z internetu. I nie jest to pierwszy raz, gdy Roundcube przyciąga grupy APT: wcześniejsze podatności XSS w tym projekcie wykorzystywały rosyjskie zespoły wywiadowcze do ataków na instytucje rządowe w Europie i na Ukrainie. Innymi słowy: e-mail to nie „apka pomocnicza”. To system krytyczny. [3]

Fakty, które warto znać

• CISA mówi wprost: to częste wektory ataków i istotne ryzyko dla sieci federalnych. Stąd obowiązkowy termin naprawy do 13 marca 2026 r. dla agencji FCEB. Reszcie organizacji zaleca identyczny priorytet.
• CVE-2025-49113 ma bazowy wynik CVSS 9.9. Badacze wskazują, że błąd tkwił w kodzie od ponad dekady, a po publikacji łatki został „zdyfowany i uzbrojony” w mniej niż 48 godzin – exploit trafił na sprzedaż już 4 czerwca 2025 r. To textbookowy przykład, jak krótko trwa dziś „okno bezpieczeństwa” po publikacji patcha.
• CVE-2025-68461 oceniono na 7.2 CVSS. To XSS o niskiej złożoności, możliwy bez uwierzytelnienia – idealny do kradzieży ciasteczek sesyjnych i pivotu dalej w infrastrukturze.
• Roundcube opublikował poprawki: RCE załatane w czerwcu 2025 r., XSS w grudniu 2025 r. (wersje 1.6.12 i 1.5.12). Jeśli jeszcze nie zaktualizowałeś – zegar tyka. [3]
• CISA nie ujawnia, kto stoi za bieżącymi kampaniami, ale przypomina, że w katalogu ma już kilkanaście pozycji dotyczących Roundcube, a projekt bywał celem zarówno cyberprzestępców, jak i państwowych grup.

Co z tego wynika

KEV to lekcja z pragmatyki: nie wszystkie CVE są równe, więc patchuj te, które naprawdę „strzelają”. Webmail jest podwójnie kłopotliwy – stoi na froncie, bywa historycznie zaniedbany (bo „przecież działa”) i przechowuje najcenniejszą walutę w biznesie: treść komunikacji. Dodaj do tego domyślną obecność Roundcube w cPanelu i mamy długą listę serwerów, gdzie łatki nie nadążyły za atakującymi. A ci nie czekają na twoje okno serwisowe.

Co zrobić teraz (i nie zwlekać)

• Zaktualizuj Roundcube do wydań, które zawierają poprawki z czerwca i grudnia 2025 r. W praktyce: najnowsza gałąź 1.6.x lub 1.5.x z grudnia 2025 r. lub nowsza. [3]
• Jeśli zarządzasz instancjami w środowiskach wielodzierżawnych (hosting), potraktuj temat jak incydent ryzyka dla całej platformy. Webmail to nie izolowana wyspa.
• Przejrzyj logi pod kątem nietypowych żądań do upload.php i artefaktów XSS w treści wiadomości/załącznikach. Gdy w grę wchodzi RCE, przegląd pod kątem trwałej persystencji to obowiązek.

Spokojne domknięcie

Ta aktualizacja KEV to nie sensacja tygodnia, tylko codzienność 2026 r.: łatki wychodzą, exploity pojawiają się niemal równocześnie, a e-mail pozostaje strategicznym celem. Jeśli Roundcube jest u ciebie „po prostu częścią panelu”, potraktuj go jak aplikację krytyczną. Bo kiedy skrzynka daje dostęp do sieci, różnica między „zrobimy to w kwartale” a „robimy to dziś” bywa równa incydentowi.

Źródła

• [1] https://cisa.gov/news-events/alerts/2026/02/20/cisa-adds-two-known-exploited-vulnerabilities-catalog
• [2] https://unit42.paloaltonetworks.com/ivanti-cve-2026-1281-cve-2026-1340/
• [3] https://bleepingcomputer.com/news/security/cisa-recently-patched-roundcube-flaws-now-exploited-in-attacks/
• [4] https://thehackernews.com/2026/02/cisa-adds-two-actively-exploited.html
• [5] https://gbhackers.com/cisa-exploited-roundcube-vulnerabilities/
• [6] https://cybersecuritynews.com/roundcube-vulnerabilities-exploited/
• [7] https://securityaffairs.com/185716/hacking/u-s-cisa-adds-apple-and-gladinet-centrestack-and-triofox-flaws-to-its-known-exploited-vulnerabilities-catalog.html
• [8] https://cisa.gov/news-events/alerts/2026/02/18/cisa-adds-two-known-exploited-vulnerabilities-catalog
• [9] https://thehackernews.com/2025/08/cisa-adds-two-n-able-n-central-flaws-to.html