CISA Adds Two Actively Exploited Roundcube Flaws to KEV Catalog

Deux Failles Roundcube Activement Exploités Ajoutées au Catalogue CISA

L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté deux vulnérabilités affectant le logiciel de webmail Roundcube à son catalogue des vulnérabilités connues et exploitées (KEV) en raison de preuves d’exploitation active.

Points clés :

• La CISA a ajouté deux failles Roundcube à son catalogue KEV, signalant une exploitation active.
• Une des vulnérabilités (CVE-2025-49113) a été découverte il y a plus de 10 ans et des exploits ont été mis en vente peu après sa divulgation publique.
• D’autres vulnérabilités de Roundcube ont été précédemment utilisées par des acteurs étatiques.

Vulnérabilités :

• CVE-2025-49113 (Score CVSS : 9.9) : Vulnérabilité de désérialisation de données non fiables permettant l’exécution de code à distance par des utilisateurs authentifiés, en raison d’une validation insuffisante du paramètre “_from” dans une URL. (Corrigée en juin 2025)
• CVE-2025-68461 (Score CVSS : 7.2) : Vulnérabilité de type Cross-Site Scripting (XSS) via la balise “animate” dans un document SVG. (Corrigée en décembre 2025)

Recommandations :

• Les agences du pouvoir exécutif fédéral civil doivent remédier à ces vulnérabilités identifiées d’ici le 13 mars 2026 pour sécuriser leurs réseaux.
• Il est fortement recommandé de mettre à jour le logiciel Roundcube vers les versions corrigées dès que possible.

Source