Zwei Sicherheitslücken in der Webmail-Anwendung RoundCube werden zur Zeit aktiv ausgenutzt.
Es handelt sich hierbei um eine Remote Code Execution durch einen autorisierten Nutzer (CVE-2025-49113) und eine Cross Site Scripting Attacke über den animate tag in SVG Dateien (CVE-2025-68461).
Das pikante, eine Cross Site Scripting Attacke in einem SVG in einer E-Mail kann sich im autorisierten Bereich (im Kontext des Benutzerpostfaches) abspielen.
Update Versionen 1.5.12 und 1.6.12 schließen zumindest die Cross Site Scripting Angriffsoberfläche und Installationen sollten möglichst sofort auf mindestens diese aktualisiert werden.
Was ist eine Remote Code Execution?
Eine „Remote Code Execution“ (RCE) oder „Remotecodeausführung“ ist eine Schwachstelle, die es einem entfernten (Remote) Angreifer erlaubt auf einer Maschine – in der Regel der, auf der die Schwachstelle präsent ist – auszuführen (oder ausführen zu lassen).
Dies kann zu einem Auslesen und Abführen von Informationen oder zur Installation von Schadsoftware auf dem verwundbaren System führen, welches dann beispielsweise als Einstiegspunkt für Command-And-Control Anker oder als Startpunkt von Verschlüsselungstrojanern genutzt werden kann.
Was bedeutet Cross Site Scripting?
Eine Cross Site Scripting (XSS) Attacke ist eine sehr weite verbreite Angriffsform im Internet. Das Kernziel besteht darin fremden (von einer anderen Seite) Code in die Ausführung oder Benutzersteuerung einer anderen Webseite zu platzieren – daher Cross Site, also seitenübergreifend.
Das Ergebnis sind mögliche Zugriffe auf vertrauenswürdige Informationen, Verfälschung von Eingabefeldern, Abfluss von Daten im allgemeinen.
Quellen & weitere Informationen
- https://www.cisa.gov/news-events/alerts/2026/02/20/cisa-adds-two-known-exploited-vulnerabilities-catalog
- https://www.heise.de/news/Roundcube-Webmail-Angriffe-auf-Sicherheitsluecken-laufen-11185535.html
- https://nvd.nist.gov/vuln/detail/CVE-2025-49113
- https://nvd.nist.gov/vuln/detail/CVE-2025-68461
- https://roundcube.net/