Агентство по кибербезопасности и защите инфраструктуры США — CISA — добавило в свой каталог известных активно используемых уязвимостей сразу две проблемы в популярном почтовом клиенте Roundcube Webmail. Речь идёт не о гипотетических рисках из разряда «когда-нибудь может случиться», а о брешах, которые уже применяют в реальных атаках.
Уязвимость с почти максимальным баллом
Первая проблема получила идентификатор CVE-2025-49113 и оценку CVSS 9.9 — почти идеальный результат, если смотреть глазами злоумышленника. Уязвимость позволяет авторизованному пользователю выполнить произвольный код на сервере из-за некорректной обработки входных данных в модуле загрузки файлов. Под удар попали версии Roundcube до 1.5.10, а также ветка 1.6.x вплоть до 1.6.11 включительно. Примечательно, что подтверждения эксплуатации в сети появились практически сразу после публикации описания проблемы, словно кто-то ждал сигнала стартового пистолета.
SVG, теги и чужой JavaScript
Вторая уязвимость, CVE-2025-68461 с оценкой CVSS 7.2, относится к межсайтовому скриптингу. Она связана с обработкой SVG-документов: вредоносный код может выполняться в браузере пользователя без его ведома через специальные теги. Эта брешь тоже успела «поработать» в реальных атаках ещё до того, как попала в официальный каталог.
CISA напомнило, что федеральные ведомства США обязаны устранять подобные активно эксплуатируемые уязвимости в установленные сроки в рамках директивы, действующей с 2021 года. Формально требования касаются только государственных сетей, но почтовый сервер, оставленный с такими дырами, редко интересует атакующих меньше только потому, что он не государственный.
Проблемы в почтовых системах традиционно считаются удобной точкой входа для киберпреступников и даже группировок, действующих при поддержке государств. Доступ к серверу почты часто означает доступ к переписке, учётным данным и другим данным, которые лучше не читать посторонним. В этом смысле история с Roundcube выглядит как очередное напоминание: электронная почта всё ещё остаётся лакомым кусочком, а список активно эксплуатируемых уязвимостей — не коллекцией для музея.