CISA دو آسیب‌پذیری RoundCube را بهره‌برداری‌شده اعلام کرد

آژانس امنیت سایبری و زیرساخت آمریکا (CISA) در ۲۰ فوریه ۲۰۲۶ اعلام کرد دو شناسه آسیب‌پذیری CVE-2025-49113 و CVE-2025-68461 مرتبط با RoundCube Webmail را به فهرست Known Exploited Vulnerabilities (KEV) افزوده است. این تصمیم بر پایه شواهد بهره‌برداری فعال اتخاذ شده و به معنای آن است که این ضعف‌ها در حملات واقعی مورد سوءاستفاده قرار گرفته‌اند. CISA در چارچوب دستورالعمل BOD 22-01 از نهادهای فدرال خواسته است تا در بازه زمانی تعیین‌شده نسبت به اصلاح اقدام نمایند و هم‌زمان به همه سازمان‌ها توصیه کرده این موارد را در اولویت مدیریت آسیب‌پذیری قرار دهند.

آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) در اطلاعیه‌ای رسمی به تاریخ ۲۰ فوریه ۲۰۲۶ اعلام کرد دو آسیب‌پذیری مرتبط با سامانه RoundCube Webmail را به فهرست Known Exploited Vulnerabilities (KEV) افزوده است. ورود یک شناسه CVE به KEV به این معناست که شواهد معتبر از بهره‌برداری آن در حملات واقعی وجود دارد و ریسک عملیاتی آن فراتر از یک ضعف نظری یا آزمایشگاهی ارزیابی می‌شود.

دو آسیب‌پذیری افزوده‌شده عبارت‌اند از:

• CVE-2025-49113 | RoundCube Webmail Deserialization of Untrusted Data

این ضعف به مسئله «غیراستانداردسازی/بازسازی داده‌های غیرقابل اعتماد» (Deserialization of Untrusted Data) مربوط است. چنین ضعف‌هایی در صورت بهره‌برداری می‌توانند به اجرای کد ناخواسته، تغییر منطق برنامه یا دسترسی غیرمجاز به داده‌ها منجر شوند؛ به‌ویژه در سامانه‌های وب‌میل که با ورودی‌های کاربر و داده‌های دریافتی از منابع مختلف سروکار دارند.

• CVE-2025-68461 | RoundCube Webmail Cross-Site Scripting (XSS)

این آسیب‌پذیری از نوع Cross-Site Scripting است؛ برداری که به مهاجم اجازه می‌دهد اسکریپت مخرب را در بستر مرورگر کاربر اجرا کند. در محیط‌های وب‌میل، XSS می‌تواند به سرقت نشست کاربری (Session Hijacking)، دسترسی به ایمیل‌ها یا انجام اقدامات غیرمجاز از طرف کاربر منجر شود.

CISA در متن اطلاعیه تصریح کرده است که این نوع آسیب‌پذیری‌ها از بردارهای رایج حمله برای بازیگران تهدید به‌شمار می‌روند و می‌توانند ریسک قابل‌توجهی برای زیرساخت‌های دولتی ایجاد کنند. به همین دلیل، مطابق دستورالعمل Binding Operational Directive (BOD) 22-01، نهادهای Federal Civilian Executive Branch (FCEB) موظف‌اند این ضعف‌ها را تا موعد تعیین‌شده اصلاح نمایند تا شبکه‌های فدرال در برابر تهدیدهای فعال محافظت شوند.

دستورالعمل BOD 22-01 با هدف «کاهش ریسک معنادار ناشی از آسیب‌پذیری‌های شناخته‌شده و بهره‌برداری‌شده» تدوین شده و KEV را به‌عنوان یک فهرست پویا تعریف می‌کند؛ فهرستی که بر اساس معیارهای مشخص و شواهد بهره‌برداری، به‌روزرسانی می‌شود. اگرچه این الزام حقوقی مستقیماً شامل همه سازمان‌ها نمی‌شود، CISA به‌صراحت توصیه کرده است که تمامی سازمان‌ها—اعم از دولتی و خصوصی—در چارچوب برنامه مدیریت آسیب‌پذیری خود، موارد KEV را در اولویت اصلاح قرار دهند.

از منظر عملیاتی، قرارگرفتن RoundCube در این فهرست برای سازمان‌هایی که از این سامانه وب‌میل استفاده می‌کنند، به معنای بازبینی فوری وضعیت نسخه و وصله‌های امنیتی است. در محیط‌هایی که RoundCube به‌صورت داخلی میزبانی می‌شود، تأخیر در به‌روزرسانی می‌تواند به سوءاستفاده از حساب‌های کاربری ایمیل، دسترسی به مکاتبات سازمانی و حتی حرکت جانبی (Lateral Movement) در شبکه منجر شود.

کارشناسان امنیتی معمولاً پیشنهاد می‌کنند در مواجهه با موارد KEV، اقدامات زیر در اولویت قرار گیرد:

۱) شناسایی دقیق همه سامانه‌های RoundCube در محیط سازمان و تعیین نسخه فعال.

۲) اعمال وصله یا ارتقا به نسخه امن در کوتاه‌ترین زمان ممکن.

۳) پایش لاگ‌ها برای نشانه‌های احتمالی بهره‌برداری پیشین، به‌ویژه الگوهای غیرعادی در نشست‌های کاربری یا اسکریپت‌های تزریق‌شده.

۴) فعال‌سازی سیاست‌های سخت‌گیرانه‌تر در سطح مرورگر و سرور برای کاهش اثرگذاری XSS، مانند تنظیم صحیح Content Security Policy (CSP).

۵) بازبینی مکانیزم‌های اعتبارسنجی و محدودسازی ورودی‌های کاربر در صورت وجود سفارشی‌سازی‌های محلی.

CISA تأکید کرده است که این نهاد به افزودن آسیب‌پذیری‌های جدید به KEV بر اساس معیارهای تعیین‌شده ادامه خواهد داد؛ به‌ویژه زمانی که شواهد روشن از بهره‌برداری فعال در دسترس باشد. این روند نشان می‌دهد KEV بیش از آن‌که یک فهرست اطلاع‌رسانی صرف باشد، به ابزاری عملیاتی برای اولویت‌بندی مدیریت ریسک در سطح ملی و سازمانی تبدیل شده است.

در مجموع، افزوده‌شدن CVE-2025-49113 و CVE-2025-68461 به KEV پیام روشنی برای مدیران فناوری اطلاعات و تیم‌های امنیت دارد: در حوزه سامانه‌های ارتباطی مانند وب‌میل، آسیب‌پذیری‌های مرتبط با ورودی کاربر و پردازش داده، همچنان از مؤثرترین و پرتکرارترین بردارهای حمله به‌شمار می‌روند و تأخیر در اصلاح آن‌ها می‌تواند پیامدهای مستقیم و گسترده‌ای بر محرمانگی و یکپارچگی اطلاعات سازمانی داشته باشد.