VS meldt actief misbruik van XSS-lek in Roundcube Webmail

In dit artikel:

Cyberautoriteiten waarschuwen dat aanvallers actief misbruikmaken van een cross-site scripting (XSS)-kwetsbaarheid in de opensource webmailsoftware Roundcube (CVE-2025-68461). Door een e-mail te sturen met een speciaal geconstrueerd SVG-bestand kunnen kwaadwillenden JavaScript in de browser van een ontvanger laten draaien, wat kan leiden tot het stelen van e-mails of het overnemen van accounts. Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) meldt het lopende misbruik; ook het Nederlandse Nationaal Cyber Security Centrum (NCSC) gaf eerder alarm.

Het lek werd eind vorig jaar gedicht; de fixes zitten in Roundcube-versies 1.6.12 en 1.5.12. Organisaties die Roundcube gebruiken worden dringend aangeraden die updates direct te installeren. Als tussenmaatregel kunnen SVG-bijlagen en HTML-weergave van e-mails worden gefilterd of uitgeschakeld, en is het raadzaam logbestanden en verdachte inlogactiviteit te monitoren.