CISA Warns of Actively Exploited Roundcube Vulnerabilities
2026/02/23 gbhackers — 2026年02月20日に、Cybersecurity and Infrastructure Security Agency (CISA) は、Known Exploited Vulnerabilities (KEV) カタログに Roundcube Webmail の 2 件の深刻な欠陥を登録した。追加された脆弱性 CVE-2025-49113/CVE-2025-68461 は、いずれも脅威アクターにより実際に悪用されているものである。
Roundcube は、世界中の組織で利用されているオープンソース Web メール・クライアントであり、現時点において、連邦政府のネットワークを含む広範な環境が攻撃されている。CISA の対応は、実環境での攻撃の証拠に基づくものである。そして、未パッチ環境の危険性を強調している。
脆弱性 CVE-2025-49113 のデシリアライズのバグは、攻撃者に対してリモートコード実行を許す。その一方で、脆弱性 CVE-2025-68461 クロスサイト・スクリプティング (XSS) の欠陥は、セッション乗っ取りやデータ窃取を許す。いずれも、機密データを扱うメール・サーバへの深刻な脅威であり、迅速なパッチ適用が不可欠である。
Roundcube の脆弱性
Roundcube Webmail は膨大な数の環境で稼働しており、特にエンタープライズ環境やホスティング環境で広く利用されている。
脆弱性 CVE-2025-49113 は、添付ファイルやフォームなどからの信頼できない入力データを、安全でない形でデシリアライズしてしまう問題である。悪意のペイロードを作成する攻撃者は、それらのデータが処理されるときに、認証を必要とすることなくリモートコード実行 (RCE) を引き起こせる。この脆弱性は、PHP deserialization ハンドラにおける入力検証の不備に起因し、バージョン 1.5.10 未満/1.6.11 未満に影響を及ぼす。
脆弱性 CVE-2025-68461 は、バージョン 1.5.12 未満/1.6.12 未満に影響を及ぼすメッセージ・レンダリング・エンジンにおける蓄積型 XSS の脆弱性である。メール・コンテンツ経由で注入された、悪意のスクリプトに持続性を許すものであり、被害者のブラウザ上での実行に至る。その結果として、認証情報の窃取などに加えて、さらなる攻撃拡散の足場を提供する。
| CVE ID | CVSS Score | Description |
|---|---|---|
| CVE-2025-49113 | 9.9 (Critical) | Deserialization of untrusted data leading to RCE via crafted inputs. |
| CVE-2025-68461 | 6.1 (Medium) | Stored XSS in email rendering, enabling session theft. |
それぞれの脆弱性は、バージョン 1.5.12 以降/1.6.12 以降において修正されている。具体的には、シリアライズ検証の強化と、入力サニタイズの強化により対処されている。
先月に、アンダーグラウンド・フォーラムで、これらの脆弱性の PoC エクスプロイトが公開された。その後の Shadowserver データによると、公開 Roundcube インスタンスを標的とするスキャンが 300% も急増しているという。
連邦機関へのパッチ命令
Binding Operational Directive ( BOD ) 22-01 に関連する CISA KEV により、米連邦政府機関は、これらの脆弱性に対して指定期限内での修正が義務付けられる。
その対象は政府機関である。ただし CISA は、民間の組織に対しての優先的な対応を求めている。未修正のサーバは、ランサムウェア被害/データ侵害/APT によるネットワーク侵入の踏み台となるリスクがある。
管理者にとって必要なことは、公開 Roundcube インスタンスに対するスキャンの実施である。その上で、バージョン 1.5.12 以降/1.6.12 以降へと速やかに更新すべきである。さらに、暫定対策として Web Application Firewall (WAF) を有効化すべきである。
オープンソースの Web メール・クライアントとして普及している Roundcube Webmail において、実環境での悪用が確認された 2 件の深刻な脆弱性が、CISA KEV カタログに登録されました。この 2 件の脆弱性は、リモートコード実行 (RCE) とクロスサイト・スクリプティング (XSS) という、さらなる攻撃を脅威アクターに許す、きわめて危険な組み合わせとなります。
Roundcubeは、cPanel や Plesk といった主要なホスティング管理ツールに標準搭載されているため、自覚なく運用しているケースも少なくありません。特に、APT28 や Winter Vivernといった国家に支援されるグループが、過去に Roundcube の脆弱性を繰り返し悪用してきた経緯があるため対応が急務です。
IoT OT Security News 
You must be logged in to post a comment.