CISA fügt Roundcube-Sicherheitslücken zum KEV-Katalog hinzu

Die U.S. Cybersecurity and Infrastructure Security Agency (CISA) hat am Freitag zwei Sicherheitsanfälligkeiten im Roundcube-Webmail-Softwarepaket in ihren Katalog der bekannt ausgenutzten Schwachstellen (KEV) aufgenommen. Diese Entscheidung basiert auf Beweisen für aktive Ausnutzung der Schwachstellen in der Cyberlandschaft. Die erste Schwachstelle, identifiziert als CVE-2025-49113, weist einen CVSS-Score von 9.9 auf. Diese Schwachstelle betrifft die Deserialisierung von nicht vertrauenswürdigen Daten und ermöglicht es Angreifern, Remote Code Execution durchzuführen.

Dies stellt ein erhebliches Risiko für Systeme dar, die Roundcube verwenden. Die zweite Schwachstelle, CVE-2025-49114, hat ebenfalls einen hohen CVSS-Score, der die Dringlichkeit der Behebung unterstreicht. Diese Schwachstelle ermöglicht es Angreifern, durch gezielte Angriffe auf die Roundcube-Software unbefugten Zugriff auf sensible Daten zu erlangen. Die CISA hat betont, dass Organisationen, die Roundcube einsetzen, dringend Maßnahmen ergreifen sollten, um ihre Systeme zu sichern. Die Behörde empfiehlt, die neuesten Sicherheitsupdates zu installieren und die Konfigurationen zu überprüfen, um potenzielle Angriffsflächen zu minimieren.

Die Aufnahme dieser Schwachstellen in den KEV-Katalog bedeutet, dass CISA die betroffenen Organisationen aktiv über die Risiken informiert und sie zur Umsetzung von Sicherheitsmaßnahmen auffordert. Dies ist Teil einer umfassenderen Strategie zur Verbesserung der Cybersicherheit in den USA. Die CISA hat auch darauf hingewiesen, dass die Bedrohung durch Cyberangriffe in den letzten Jahren zugenommen hat, was die Notwendigkeit unterstreicht, Sicherheitslücken schnell zu identifizieren und zu beheben. Die Behörde hat in der Vergangenheit ähnliche Maßnahmen für andere kritische Softwareprodukte ergriffen. Die Roundcube-Software wird häufig in Unternehmen und Organisationen eingesetzt, die auf Webmail-Dienste angewiesen sind.

Sicherheitsanfälligkeiten könnten daher weitreichende Auswirkungen auf die Vertraulichkeit und Integrität von E-Mail-Kommunikationen haben. Die CISA hat die betroffenen Organisationen aufgefordert, ihre Sicherheitsrichtlinien zu überprüfen und sicherzustellen, dass alle Mitarbeiter über die Risiken und die erforderlichen Sicherheitsmaßnahmen informiert sind. Ein proaktiver Ansatz zur Cybersicherheit kann helfen, potenzielle Angriffe zu verhindern. Die Veröffentlichung der Schwachstellen und die Aufnahme in den KEV-Katalog erfolgt in einem Kontext, in dem Cyberangriffe zunehmend komplexer und zielgerichteter werden. Die CISA arbeitet eng mit anderen Regierungsbehörden und der Privatwirtschaft zusammen, um die Cybersicherheit zu stärken.

Die Sicherheitslücke CVE-2025-49113 wurde als kritisch eingestuft, was bedeutet, dass sie sofortige Aufmerksamkeit erfordert. Die CISA hat bereits mehrere Empfehlungen zur Minderung der Risiken veröffentlicht, die auf ihrer Website zugänglich sind. Die Roundcube-Entwickler haben angekündigt, dass sie an einem Patch arbeiten, um die Sicherheitsanfälligkeiten zu beheben. Ein Zeitrahmen für die Veröffentlichung des Updates wurde jedoch noch nicht bekannt gegeben.