【安全资讯】CISA警告：已修复的RoundCube漏洞现遭攻击者利用

概要：

近日，美国网络安全和基础设施安全局（CISA）将两个Roundcube Webmail漏洞列入其已知被利用漏洞（KEV）目录，并下令联邦机构限期修补。Roundcube作为广泛使用的开源Web邮件客户端，其安全漏洞已成为国家级黑客组织和网络犯罪分子的重点攻击目标，对政府及企业邮件系统构成严重威胁。

主要内容：

CISA标记的两个漏洞分别为CVE-2025-49113和CVE-2025-68461。前者是一个高危的远程代码执行漏洞，攻击者利用此漏洞可在目标服务器上执行任意代码，从而完全控制系统。该漏洞在2025年6月修复后数日内即被观测到在野利用，当时有超过8.4万个未修补的Roundcube实例面临风险。

后者是一个跨站脚本漏洞，攻击者可通过在SVG文档中滥用animate标签，发起低复杂度的XSS攻击。此漏洞允许未经身份验证的远程攻击者向用户浏览器注入恶意脚本，窃取会话cookie等敏感信息。Roundcube安全团队在2025年12月发布补丁时强烈建议所有用户立即升级。

尽管未透露具体攻击细节，但CISA指出这些漏洞是恶意网络行为者的常用攻击载体，对联邦企业构成重大风险。根据具有约束力的操作指令，联邦文职行政分支机构必须在三周内完成修补。历史记录显示，Roundcube漏洞频繁被用于网络攻击，例如俄罗斯黑客组织Winter Vivern和APT28曾利用相关零日漏洞攻击欧洲及乌克兰政府实体。

目前，Shodan搜索引擎仍能追踪到超过4.6万个在线的Roundcube实例，其中有多少仍受这两个漏洞影响尚不明确。此次事件再次凸显了及时更新关键软件、修补已知漏洞对于防御高级持续性威胁的重要性。