[66/2025] Poważna podatność w oprogramowaniu Roundcube Webmail

Zespół CERT Polska informuje o podatności CVE-2025-68461 w oprogramowaniu Roundcube Webmail.

Podatność XSS, wynikająca z nieprawidłowej sanityzacji danych, umożliwia atakującym wykonanie złośliwego kodu JavaScript, co może prowadzić do przejęcia zawartości skrzynek pocztowych bądź sesji użytkowników.

Poprzednie podatności XSS w oprogramowaniu Roundcube użyte były z powodzeniem do przejmowania kont pocztowych m. in. polskich podmiotów i użytkowników, o czym pisaliśmy w naszym artykule. W związku z wysokim ryzykiem ponownych ataków, zalecamy niezwłoczną aktualizację do wersji 1.5.12 lub 1.6.12.

Więcej informacji na temat podatności oraz aktualizacji oprogramowania można znaleźć na stronie producenta.

W przypadku wykrycia eksploitacji podatności w Państwa sieci zalecamy niezwłoczny kontakt z naszym zespołem poprzez formularz na stronie https://incydent.cert.pl/.