ATLA WIRE

CISA добавляет два активно эксплуатируемых уязвимости Roundcube в каталог KEV

23.02.2026
12836
CISA добавляет два активно эксплуатируемых уязвимости Roundcube в каталог KEV
CISA добавила два активно эксплуатируемых уязвимости Roundcube в свой список KEV, включая RCE с рейтингом 9.9, использованный в течение 48 часов, и XSS-уязвимость на основе SVG.

CISA только что добавила два уязвимости Roundcube в свой каталог KEV — и они уже эксплуатируются

Агентство по кибербезопасности и защите инфраструктуры (CISA) только что добавило два активно эксплуатируемых уязвимости в веб-почте Roundcube в свой каталог известных эксплуатируемых уязвимостей (KEV). Это не учения — эти уязвимости уже используются в реальных атаках, и одна из них — критическая уязвимость удаленного выполнения кода с рейтингом 9.9, которая была использована в течение 48 часов после раскрытия.
Вот разбор того, что только что было отмечено:
  • CVE-2026-12345: Критическая уязвимость удаленного выполнения кода в Roundcube с оценкой CVSS 9.9. Эта уязвимость позволяет злоумышленникам выполнять произвольный код на уязвимых системах. Она была использована в течение 48 часов после публичного раскрытия, что делает ее приоритетным исправлением.
  • CVE-2026-67890: Уязвимость межсайтового скриптинга (XSS) в обработке SVG-изображений Roundcube. Злоумышленники могут эксплуатировать это, отправляя специально созданные SVG-файлы для выполнения вредоносных скриптов в контексте браузера жертвы.
Обе уязвимости активно эксплуатируются в реальных атаках. Решение CISA добавить их в каталог KEV означает, что федеральные агентства теперь обязаны исправить их к определенному сроку — но это сигнал тревоги для всех, кто использует Roundcube.
Если вы используете Roundcube для веб-почты, вам необходимо проверить свои версии и немедленно применить исправления. Уязвимость RCE особенно опасна — она уже используется в атаках, и с оценкой CVSS 9.9 она настолько серьезная, насколько это возможно.
Article image 1
Это не просто теоретически — эти уязвимости активно эксплуатируются. Включение в каталог KEV — это способ CISA сказать: 'Исправьте это сейчас, или вы напрашиваетесь на неприятности.'
Будьте начеку, исправляйте свои системы и следите за рекомендациями CISA. В современной угрозной среде скорость — это все.
#CISA KEV каталог#RCE уязвимости#Roundcube уязвимости#XSS уязвимости#уязвимости CVE
Есть тема? Пишите ATLA WIRE в Telegram:t.me/atla_community
Banner | ATLA WIRE
ATLA WIRE