文章总结： 美国网络安全和基础设施安全局(CISA)将两个Roundcube漏洞添加至KEV目录。CVE-2025-49113为高危反序列化RCE漏洞，已在披露后48小时内被武器化并在暗网出售；CVE-2025-68461为SVG文档XSS漏洞。历史数据显示APT28等组织曾攻击该软件。CISA要求联邦机构在2026年3月13日前完成修复，建议相关用户关注并排查。 综合评分： 79 文章分类： 漏洞预警,漏洞分析,威胁情报

CISA 将两个已被积极利用的 Roundcube 漏洞添加到 KEV 目录中

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年2月22日 14:03 辽宁

美国网络安全和基础设施安全局 (CISA) 周五将影响 Roundcube 网络邮件软件的两个安全漏洞添加到其已知利用漏洞 ( KEV ) 目录中，并指出有证据表明这些漏洞正在被积极利用。

相关漏洞列于下方 –

• CVE-2025-49113（CVSS评分：9.9）——此漏洞允许已认证用户反序列化不受信任的数据，因为程序/操作/设置/upload.php 中未验证 URL 中的 _from 参数，从而允许远程代码执行。（已于2025年6月修复）
• CVE-2025-68461（CVSS评分：7.2）——SVG文档中通过animate标签存在的跨站脚本漏洞。（已于2025年12月修复）

总部位于迪拜的网络安全公司FearsOff表示，攻击者在漏洞公开披露后的48小时内就“对该漏洞进行了差异化分析并将其武器化”。FearsOff的创始人兼首席执行官Kirill Firsov正是CVE-2025-49113漏洞的发现者和报告者。随后，该漏洞的利用程序于2025年6月4日开始出售。

菲尔索夫还指出，该缺陷在默认安装中可以可靠地触发，并且它已经在代码库中隐藏了 10 多年。

目前尚不清楚是谁利用了Roundcube的这两个漏洞。但像APT28和Winter Vivern这样的国家级网络威胁组织已经利用了该电子邮件软件中的多个漏洞。

联邦民事行政部门 (FCEB) 各机构应在 2026 年 3 月 13 日之前修复已发现的漏洞，以保护其网络免受当前威胁。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《CISA 将两个已被积极利用的 Roundcube 漏洞添加到 KEV 目录中》