Roundcube Webmail XSS-lek laat aanvaller e-mailaccounts overnemen

In dit artikel:

Een recent ontdekte kwetsbaarheid in Roundcube Webmail (CVE-2025-68461) maakt het voor aanvallers mogelijk op afstand e-mailaccounts over te nemen. Een onderzoeker van CrowdStrike vond een XSS-zwakte waarbij een speciaal geprepareerd SVG-bestand in een e-mail JavaScript in de browser van de ontvanger kan uitvoeren, wat kan leiden tot het stelen van e-mails of volledige accountkapingen. Het Nationaal Cyber Security Centrum waarschuwt organisaties en verwijst naar updates; beheerders wordt geadviseerd direct te upgraden naar versies 1.6.12 of 1.5.12 om het lek te dichten. Roundcube is opensource-webmailsoftware die door veel organisaties wordt gebruikt, en eerdere Roundcube-lekken zijn al eerder misbruikt — de Poolse overheid noemde deze fout dan ook gevaarlijk. Als onmiddellijke mitigatie kunnen organisaties SVG-bestanden blokkeren, HTML-weergave uitschakelen of aanvullende filter- en WAF-regels inzetten totdat patchen mogelijk is.