Aanvallers maken actief misbruik van een cross-site scripting (XSS) kwetsbaarheid in Roundcube Webmail, zo laat het Amerikaanse cyberagentschap CISA weten. Eind vorig jaar verschenen er beveiligingsupdates voor het probleem. Roundcube is opensource-webmailsoftware en wordt door allerlei organisaties wereldwijd gebruikt. Een beveiligingslek in de software (CVE-2025-68461) maakt cross-site scripting mogelijk.
Het probleem zorgt ervoor dat een aanvaller door het versturen van een e-mail met een speciaal geprepareerd SVG-bestand JavaScript-code in de browser van een gebruiker kan uitvoeren. Zo is het bijvoorbeeld mogelijk om e-mails te stelen of zelfs een e-mailaccount over te nemen, zo waarschuwde het Nationaal Cyber Security Centrum (NCSC) over de kwetsbaarheid.
Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security maken aanvallers actief misbruik van het XSS-lek. Details over deze aanvallen zijn niet gegeven. In het verleden zijn beveiligingslekken in RoundCube vaker gebruikt bij aanvallen. De kwetsbaarheid is verholpen in versies 1.6.12 en 1.5.12.
