Roundcube – IoT OT Security News

CISA KEV 警告 25/06/09：Erlang SSH／Roundcube の脆弱性を登録

CISA Adds Erlang SSH and Roundcube Flaws to Known Exploited Vulnerabilities Catalog

2025/06/10 TheHackerNews — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、Erlang/Open Telecom Platform (OTP) SSH および Roundcube に影響を与える２つの脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに追加した。

Roundcube Web メールの脆弱性 CVE-2025-49113：悪用可能な PoC がハッカーフォーラムで公開

Hacker selling critical Roundcube webmail exploit as tech info disclosed

2025/06/05 BleepingComputer — 広く使用される OSS の Web メール・アプリケーション Roundcube に存在する、深刻なリモート・コード実行の脆弱性 CVE-2025-49113 を、ハッカーたちが悪用し始めているようだ。この脆弱性は、Roundcube 内に10年以上にわたり存在し、バージョン 1.1.0〜1.6.10 に対して影響を及ぼすものだ。すでに Roundcube は、2025年6月1日にパッチを適用している。その一方で攻撃者は、今回の修正内容に対するリバース・エンジニアリングを達成し、この脆弱性を武器化している。その結果として、わずか数日で、少なくとも１つのハッカー・フォーラムにおいて、実際に動作するエクスプロイトが販売されるに至っている。

Roundcube Webmail の 10年来の脆弱性 CVE-2025-49113 が FIX：PoC も近日中に公開予定

Critical 10-Year-Old Roundcube Webmail Bug Allows Authenticated Users Run Malicious Code

2025/06/03 TheHackerNews — Roundcube Webmail ソフトウェアに存在する、深刻なセキュリティ脆弱性が発見されたが、10年間にわたって見過ごされていたものであり、その詳細がサイバー・セキュリティ研究者たちにより公表された。この脆弱性が悪用されると、影響を受けるシステムの乗っ取りや、任意のコード実行などにいたる恐れがある。この脆弱性 CVE-2025-49113 (CVSS：9.9) の悪用に成功した攻撃者は、PHP オブジェクトのデシリアライズを通じて、認証後におけるリモートコード実行の可能性を手にする。

CISA KEV 警告 24/10/24：Cisco と Roundcube の脆弱性を登録

CISA Sounds Alarm on Actively Exploited Cisco and Roundcube Vulnerabilities

2024/10/24 SecurityOnline — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、悪用が報告されている Cisco VPN の脆弱性 CVE-2024-20481 と Roundcube wabmail の脆弱性 CVE-2024-37383 を、KEV (Known Exploited Vulnerabilities) カタログに登録した。これらの脆弱性が悪用されると、サービス拒否状態や機密情報の盗難につながる可能性があり、組織や個人に重大なリスクが生じるとされる。

Roundcube Webmail の XSS 脆弱性 CVE-2024-37383：フィッシング攻撃での悪用を確認

Hackers Exploit Roundcube Webmail XSS Vulnerability to Steal Login Credentials

2024/10/20 TheHackerNews — オープンソースの Web メールソフトウェア Roundcube の、すでに修正済みの脆弱性 CVE-2024-37383 を、正体不明の脅威アクターがフィッシング攻撃で悪用し、ユーザー認証情報の窃取を試行していることが確認された。ロシアのサイバーセキュリティ企業 Positive Technologies が 2024年9月に公表したのは、CIS (Commonwealth of Independent States) 加盟国のに所在する不特定の政府機関に対して、不審なメールが送信されたことである。特筆すべきは、そのメッセージが、2024年6月の時点で送信されていたことだ。

Roundcube Webmail の XSS 脆弱性などが FIX：ただちにパッチを！

Roundcube Webmail Releases Security Updates to Patch Multiple Vulnerabilities

2024/08/05 SecurityOnline — OSS として人気を博す Web メール・クライアント Roundcube に存在する、深刻な脆弱性に対するセキュリティ・アップデートが、開発チームからリリースされた。昨日にリリースされたバージョン1.6.8／ 1.5.8 は、セキュリティ研究者 Oskar Zeino-Mahmalat (Sonar) から報告された、３件の深刻な脆弱性に対処するものだ。ユーザー・フレンドリーなインターフェイスと堅牢なメール管理機能が評価され、広く利用されている Roundcube プラットフォームの完全性とセキュリティを維持するために、このアップデートが提供された。

CISA KEV 警告 24/06/26：GeoSolutions／Linux Kernel／ Roundcube の脆弱性を登録

CISA Adds GeoSolutionsGroup Jai-Ext, Linux Kernel, And Roundcube Webmail Bugs To Its Known Exploited Vulnerabilities Catalog

2024/06/27 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、以下の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した：

CVE-2022-24816：GeoSolutionsGroup JAI-EXT におけるコード・インジェクションの脆弱性
CVE-2022-2586：Linux カーネルにおける Use-After-Free 脆弱性
CVE-2020-13965：Roundcube Webmail における Cross-Site Scripting (XSS) の脆弱性

CISA KEV 警告 24/02/12：Roundcube の XSS 脆弱性 CVE-2023-43770 を追加

CISA Adds Roundcube Webmail Persistent Xss Bug To Its Known Exploited Vulnerabilities Catalog

2024/02/12 SecurityAffairs — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、Roundcube Webmail に存在する持続的 XSS (Cross-Site Scripting) の脆弱性 CVE-2023-43770 を、KEV (Known Exploited Vulnerabilities Catalog) カタログに追加した。

Roundcube Server の脆弱性 CVE-2023-5631：Winter Vivern グループが攻撃を開始

Winter Vivern: Zero-Day XSS Exploit Targets Roundcube Servers

2023/10/25 InfoSecurity — Roundcube Webmail サーバに存在するクロス・サイト・スクリプティング (XSS) ゼロデイ脆弱性 CVE-2023-5631 を、Winter Vivern グループが悪用して大規模な攻撃を行っている。10月25日 (水) に発表された ESET Research のアドバイザリには、この新たなキャンペーンの標的は、欧州の政府機関およびシンクタンクで利用される Roundcube Webmail サーバだと記されている。この脆弱性は 10月12日の時点で、ESET Research から Roundcube に報告された。この問題を認めた Roundcube チームは、短期間でパッチを適用し、10月16日にセキュリティアップデートをリリースした。