Всю сеть взломали через одно письмо. К чему ещё приводит отказ обновить Roundcube

Агентство по кибербезопасности и защите инфраструктуры (CISA) добавило в свой каталог известных активно используемых уязвимостей две уязвимости в почтовом клиенте Roundcube Webmail – программном обеспечении, которое работает во многих почтовых серверах по всему миру и часто встречается в корпоративных сетях. Бреши уже применяют в реальных атаках, поэтому список обновлён на основе подтверждённых свидетельств злоупотреблений.

Первая отслеживается как CVE-2025-49113 (оценка CVSS 9.9). Проблема даёт авторизованному пользователю возможность выполнить произвольный код на сервере из-за неправильной обработки входных данных в модуле загрузки файлов. Уязвимость затрагивает версии Roundcube до 1.5.10 и 1.6.x до 1.6.11 включительно. Доказательства эксплуатации в сети появились вскоре после публикации описания проблемы.

Вторая проблема, CVE-2025-68461 (оценка CVSS 7.2), связана с атаками межсайтового скриптинга через теги в SVG-документах, когда вредоносный код может выполняться в браузере пользователя без его ведома. Уязвимость тоже эксплуатировали до её включения в каталог.

Агентство указало, что федеральные ведомства США обязаны устранить эти и другие активные уязвимости к указанным срокам в рамках директивы, введённой в 2021 году. Хотя директива напрямую касается только государственных сетей, любые организации, которые не хотят стать мишенью для атак, должны как можно скорее обновить свои системы до безопасных версий и закрыть эти дыры.

Такие уязвимости, как эти в Roundcube, часто становятся точкой входа для киберпреступников и даже группировок, спонсируемых государствами, поскольку взлом почтового сервера может открыть доступ к переписке, учётным данным и другим важным данным. Поэтому своевременное обновление и устранение известных проблем остаются одним из самых надёжных способов защиты сетей и инфраструктуры.