Roundcube is everywhere. It's the webmail client sitting on thousands of corporate and hosting provider servers, handling email for users who've never heard of it. And now it's actively under attack.
According to The Hacker News, CISA just added two Roundcube vulnerabilities to its Known Exploited Vulnerabilities (KEV) catalog—the official list of flaws that adversaries are actively weaponizing in real-world attacks. One of them carries a CVSS score of 9.9. That's not hyperbole. That's "remote code execution on your mail server" territory.
What We Know
The primary vulnerability is CVE-2025-49113, a deserialization flaw that sits at the critical end of the severity spectrum. The second vulnerability wasn't fully detailed in initial reporting, but both made the KEV catalog cut, which means defenders have observed active exploitation attempts in the wild.
CISA doesn't add things to that catalog casually.
The timeline matters here. Roundcube is open-source software, widely deployed, and heavily relied upon by managed hosting providers. If this flaw has been under active attack long enough to land on CISA's radar, then the window between discovery and weaponization was likely measured in days, not weeks.
How It Works
Deserialization vulnerabilities are the kind that make security teams lose sleep. Here's why: they let an attacker send specially crafted data to an application, which then deserializes it—basically converting that data back into executable code or objects. If the application doesn't validate what it's deserializing, the attacker can inject malicious instructions that run with the application's privileges.
In Roundcube's case, this isn't a subtle information disclosure or a login bypass.
This is remote code execution. An unauthenticated attacker can send a request to a vulnerable Roundcube instance and get shell access. The CVSS 9.9 score reflects that: it's network-based, requires no authentication, needs no user interaction, and gives you complete system compromise. Frankly, this is as bad as it gets without being a zero-day affecting every internet-connected device.
Why It Matters
Roundcube isn't niche software. It's the default webmail interface on cPanel servers. It's running on shared hosting platforms. It's sitting behind corporate mail systems. The blast radius here is enormous.
So why does this matter right now? Because active exploitation means attackers aren't waiting for patches to roll out. They're not running proofs-of-concept in labs. They're actively compromising servers. Today.
And compromised mail servers are a nightmare scenario. Email is the skeleton key to most networks. Once an attacker has access to a mail server, they've got credentials, they've got forwarding rules they can set up, they've got access to password reset emails, and they've got a foothold to move laterally. This particular vulnerability doesn't just give them a shell—it gives them the keys to your entire infrastructure.
Next Steps
If you're running Roundcube, this is a "stop what you're doing" situation. Check your instances immediately. Look for patches from Roundcube or your hosting provider. If you can't patch immediately, take the service offline or implement network restrictions—firewall rules that limit access to trusted IPs only, WAF rules that block suspicious requests.
For organizations using managed hosting with Roundcube: contact your provider today, not tomorrow. Get confirmation that patches are deployed. Verify it yourself if possible.
For everyone else: assume Roundcube is exploitable in the wild until you've confirmed otherwise. That's not paranoia. That's what the KEV catalog addition means.
Roundcube є всюди. Це клієнт вебпошти, що працює на тисячах серверів корпорацій та хостинг-провайдерів, обробляючи електронну пошту для користувачів, які ніколи про нього не чули. І зараз він перебуває під активною атакою.
За даними The Hacker News, CISA щойно додала дві вразливості Roundcube до свого каталогу відомих експлуатованих вразливостей (KEV) — офіційного списку вад, які зловмисники активно перетворюють на зброю в реальних атаках. Одна з них має оцінку CVSS 9.9. Це не перебільшення. Це територія "віддалене виконання коду на вашому поштовому сервері".
Що ми знаємо
Основна вразливість — CVE-2025-49113, вада десеріалізації, яка знаходиться на критичному кінці спектра серйозності. Друга вразливість не була детально описана в початкових звітах, але обидві потрапили до каталогу KEV, що означає, що захисники спостерігали активні спроби експлуатації в реальних умовах.
CISA не додає речі до цього каталогу просто так.
Хронологія тут має значення. Roundcube — це програмне забезпечення з відкритим кодом, широко розгорнуте та на яке значною мірою покладаються постачальники керованого хостингу. Якщо ця вада перебувала під активною атакою достатньо довго, щоб потрапити на радар CISA, тоді вікно між виявленням та перетворенням на зброю, ймовірно, вимірювалося днями, а не тижнями.
Як це працює
Вразливості десеріалізації — це те, від чого команди безпеки втрачають сон. Ось чому: вони дозволяють зловмиснику відправити спеціально сформовані дані додатку, який потім десеріалізує їх — по суті перетворюючи ці дані назад у виконуваний код або об'єкти. Якщо додаток не перевіряє те, що він десеріалізує, зловмисник може впровадити шкідливі інструкції, які виконуються з привілеями додатка.
У випадку Roundcube це не тонке розкриття інформації чи обхід входу.
Це віддалене виконання коду. Неавтентифікований зловмисник може надіслати запит до вразливого екземпляра Roundcube та отримати доступ до оболонки. Оцінка CVSS 9.9 це відображає: це мережева атака, не потребує автентифікації, не потребує взаємодії з користувачем і дає повну компрометацію системи. Відверто кажучи, це настільки погано, наскільки може бути, якщо це не zero-day, який впливає на кожен пристрій, підключений до інтернету.
Чому це важливо
Roundcube — це не нішеве програмне забезпечення. Це стандартний інтерфейс вебпошти на серверах cPanel. Він працює на платформах спільного хостингу. Він стоїть за корпоративними поштовими системами. Радіус ураження тут величезний.
Тож чому це важливо саме зараз? Тому що активна експлуатація означає, що зловмисники не чекають, поки патчі будуть розгорнуті. Вони не запускають підтвердження концепцій у лабораторіях. Вони активно компрометують сервери. Сьогодні.
А скомпрометовані поштові сервери — це найгірший сценарій. Електронна пошта — це ключ-відмичка до більшості мереж. Як тільки зловмисник отримує доступ до поштового сервера, він отримує облікові дані, може налаштувати правила переадресації, має доступ до листів відновлення паролів та плацдарм для бічного переміщення. Ця конкретна вразливість не просто дає їм оболонку — вона дає їм ключі до всієї вашої інфраструктури.
Наступні кроки
Якщо ви використовуєте Roundcube, це ситуація "кидайте все, що робите". Негайно перевірте свої екземпляри. Шукайте патчі від Roundcube або вашого хостинг-провайдера. Якщо ви не можете негайно встановити патч, відключіть сервіс або впровадьте мережеві обмеження — правила файрвола, які обмежують доступ лише довіреними IP, правила WAF, які блокують підозрілі запити.
Для організацій, що використовують керований хостинг з Roundcube: зверніться до свого провайдера сьогодні, а не завтра. Отримайте підтвердження, що патчі розгорнуті. Перевірте це самостійно, якщо можливо.
Для всіх інших: вважайте, що Roundcube є вразливим для експлуатації, поки ви не підтвердили зворотне. Це не параноя. Це саме те, що означає додавання до каталогу KEV.