【要点】

◎CISAはRoundcubeのRCEとXSSの2脆弱性が悪用中としてKEVへ追加、更新を要請 (Security NEXT)

【要約】

CISAはRoundcubeの既知脆弱性2件が悪用されているとしてKEVに追加し、行政機関に期限内対応を求めた。CVE-2025-49113はPHPデシリアライズ不備によるRCEでCVSS9.9のクリティカル、1.6.11および1.5.10で修正されたが不具合により1.5.11で再修正。CVE-2025-68461はXSSでCVSS7.2、高。さらに1.6.13／1.5.13でも追加のセキュリティ修正が行われており、早急な更新が必要。

【ニュース】

◆ウェブメール「Roundcube」の脆弱性2件が攻撃の標的に (Security NEXT, 2026/02/24)
https://www.security-next.com/181309