Webmailes hiba miatt riasztott a CISA

​Felkerült a CISA legveszélyesebb sebezhetőségeket tartalmazó listájára két RoundCube biztonsági hiba.
 

A CISA KEV katalógusa alapvetően egyes amerikai ügynökségek és szervek patch menedzsmentjének támogatását hivatott elősegíteni, ugyanakkor nagyon hasznos szolgálatot tesz a kormányzati szférán kívül is. Elsősorban azáltal, hogy felhívja a figyelmet a legsúlyosabb, aktív támadásokban is szerepet játszó sérülékenységekre, ezáltal a patch menedzsmenttel összefüggő feladatok priorizálását megkönnyíti, megalapozza.

A CISA legutóbb két RoundCube sebezhetőséget vett fel a KEV-re, és egyúttal március 13-ig adott időt az arra kötelezett amerikai szervek számára, hogy megszüntessék e két biztonsági rést. 

Az egyik hiba (CVE-2025-49113) már tavaly június óta ismert, és jogosulatlan távoli kódfuttatást képes elősegíteni. A másik sebezhetőségre (CVE-2025-68461) pedig tavaly decemberben derült fény, és előzetes hitelesítés nélküli, XSS-típusú támadásokhoz tud hozzájárulni. Az utóbbi károkozások speciálisan szerkesztett SVG-állományok révén valósulhatnak meg. 

A Roundcube fejlesztői tavaly felhívták a figyelmet a frissítések telepítésének fontosságára, amikor kiadták a javított, 1.6.12-es, illetve 1.5.12-es verziókat.

A hazánkban is széles körben használt webmail alkalmazás frissítésére tehát érdemes odafigyelni, és mielőbb telepíteni a legújabb verziókat.