Die CISA hat zwei Schwachstellen in der weit verbreiteten Webmail-Software Roundcube in ihren KEV-Katalog eingetragen. Maßgeblich für die Aufnahme sind Belege dafür, dass beide Lücken bereits aktiv von Angreifern ausgenutzt werden.

Die Entdeckung und Meldung von CVE-2025-49113 wird Kirill Firsov zugeschrieben, dem Gründer und Geschäftsführer des in Dubai ansässigen Cybersicherheitsunternehmens FearsOff. Nach dessen Darstellung gingen Angreifer ungewöhnlich schnell vor: Innerhalb von 48 Stunden nach der öffentlichen Bekanntgabe der Schwachstelle hätten sie die Lücke analysiert und in einen einsatzfähigen Exploit verwandelt. Ein entsprechender Exploit wurde anschließend am 4. Juni 2025 zum Verkauf angeboten.

Firsov wies zudem darauf hin, dass sich die Schwachstelle zuverlässig auf Standardinstallationen auslösen lasse. Der Fehler habe sich über zehn Jahre lang unbemerkt im Quellcode der Software befunden.

Wer für die Ausnutzung der beiden Roundcube-Lücken verantwortlich ist, geht aus den vorliegenden Informationen nicht hervor. Bekannt ist allerdings, dass mehrere Schwachstellen der E-Mail-Software in der Vergangenheit von staatlich gesteuerten Bedrohungsakteuren wie APT28 und Winter Vivern für Angriffe genutzt wurden.

Für die zivilen Behörden der US-Bundesverwaltung (Federal Civilian Executive Branch, FCEB) gilt eine verbindliche Frist: Sie müssen die identifizierten Schwachstellen bis zum 13. März 2026 beheben, um ihre Netzwerke gegen die laufenden Angriffe abzusichern.