CISA warnt vor kritischen RoundCube-Lücken
26.02.2026 - 11:54:32 | boerse-global.de
Die US-Cybersicherheitsbehörde CISA stuft zwei Schwachstellen im Webmailer RoundCube als aktiv ausgenutzt ein. Auch das deutsche BSI bewertet das Risiko als hoch. US-Behörden müssen ihre Systeme innerhalb von drei Wochen absichern.
Der aktuelle Fall um RoundCube verdeutlicht, wie schnell Sicherheitslücken in etablierter Software zum Einfallstor für Unternehmen werden können. Dieser Experten-Report enthüllt effektive Strategien, wie sich mittelständische Betriebe ohne Budget-Explosion gegen solche Cyberangriffe wappnen. Effektive Strategien gegen Cyberkriminelle jetzt entdecken
Zwei gefährliche Angriffswege
Im Fokus stehen die Lücken CVE-2025-49113 und CVE-2025-68461. Die erste gilt mit einem CVSS-Score von 9,9 als kritisch. Angreifer können nach einer Anmeldung beliebigen Code auf dem Server ausführen. Ein Patch existiert zwar seit Juni 2025, doch Hacker nutzen die Schwachstelle bereits aktiv aus.
Die zweite Lücke (CVSS 7,2) ist ein Cross-Site-Scripting-Problem via SVG-Dateien. Öffnet ein Nutzer eine präparierte E-Mail, wird schädlicher Code ausgeführt – ohne weitere Interaktion. Auch diese, seit Dezember 2025 gepatchte, Schwachstelle wird für Angriffe missbraucht.
Warum Webmail ein gefährliches Einfallstor ist
Ein kompromittierter RoundCube-Server hat fatale Folgen. E-Mail-Konten sind das Zentrum der digitalen Identität. Haben Angreifer erst Zugriff, können sie Passwörter für soziale Netzwerke, Cloud-Dienste oder Banking-Apps zurücksetzen.
Die Synchronisation zwischen Webmail und mobilen Clients verschärft das Problem. Hacker erhalten vollen Zugriff auf den gesamten Posteingang – und damit auf sensible Geschäfts- und Privatdaten. Von einem gehackten Konto aus lassen sich zudem täuschend echte Phishing-Mails an Kontakte versenden.
Während technische Lücken oft im Fokus stehen, verschärfen auch neue regulatorische Anforderungen die Sicherheitslage für die Geschäftsführung. Dieser kostenlose Leitfaden zeigt Ihnen, was Verantwortliche über Cyber Security und aktuelle KI-Gesetze wissen müssen. Kostenlosen Cyber-Security-Leitfaden für 2024 sichern
Wer ist betroffen und was muss passieren?
RoundCube ist eine der weltweit populärsten Open-Source-Webmail-Lösungen. Unzählige Unternehmen, Behörden und Hosting-Anbieter setzen sie ein. Zum Zeitpunkt der Entdeckung waren zehntausende Server-Instanzen potenziell angreifbar.
Die Anweisung der CISA ist klar: sofort handeln. Für die XSS-Lücke müssen die Versionen 1.6.12 oder 1.5.12 installiert sein. Die kritische RCE-Schwachstelle ist bereits seit Mitte 2025 gepatcht. Administratoren sollten ihre Systeme umgehend überprüfen und aktualisieren.
Die ständige Jagd nach Kommunikationslücken
Die Aufnahme in den CISA-Katalog zeigt: Auch etablierte Software ist nicht sicher. Besonders alarmierend: Eine der Lücken blieb über ein Jahrzehnt unentdeckt.
Experten rechnen damit, dass Hacker weiter gezielt nach Schwachstellen in Webmailern und anderen Kommunikationsplattformen suchen. Für Unternehmen bedeutet das: Proaktives Patch-Management und kontinuierliche Überwachung sind überlebenswichtig. Die dreiwöchige Frist der CISA unterstreicht die Dringlichkeit.
Hol dir jetzt den Wissensvorsprung der Aktien-Profis.
Seit 2005 liefert der Börsenbrief trading-notes verlässliche Aktien-Empfehlungen – dreimal pro Woche, direkt ins Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt abonnieren.
