CVE-2025-68461

Roundcube Webmail

ВЕРОЯТНОСТЬ 6.4%
Дата обнаружения

2026-02-20

Официальное описание

RoundCube Webmail contains a cross-site scripting vulnerability via the animate tag in an SVG document.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2025-68461 представляет собой межсайтовый скриптинг (Stored XSS) в почтовом клиенте Roundcube Webmail. Проблема возникает из-за некорректной фильтрации (санитизации) SVG-изображений, в которых используется тег <animate>.

Злоумышленник может отправить жертве электронное письмо, содержащее специально подготовленный SVG-файл (встроенный в тело письма или прикрепленный как вложение). Когда пользователь открывает это письмо, браузер обрабатывает тег <animate> внутри SVG, что приводит к выполнению произвольного вредоносного JavaScript-кода в контексте домена почтового сервиса. Это позволяет атакующему перехватить сессию (украсть cookies), прочитать конфиденциальную переписку или отправить письма от имени скомпрометированного пользователя.

Как исправить

Основной и самый надежный способ устранения уязвимости — обновление Roundcube Webmail до последней стабильной версии, содержащей исправление безопасности.

  • Создайте резервную копию текущей директории веб-приложения (путь может отличаться в зависимости от вашей ОС).
cp -a /var/www/roundcube /var/www/roundcube_backup
  • Скачайте архив с актуальной пропатченной версией Roundcube (в примере используется условная версия 1.6.x).
wget https://github.com/roundcube/roundcubemail/releases/download/1.6.6/roundcubemail-1.6.6-complete.tar.gz
  • Распакуйте скачанный архив.
tar -xzf roundcubemail-1.6.6-complete.tar.gz
  • Перейдите в директорию с распакованными файлами обновления.
cd roundcubemail-1.6.6
  • Запустите официальный скрипт обновления, указав путь к вашей текущей рабочей директории Roundcube.
bin/installto.sh /var/www/roundcube

Временные меры

Если немедленное обновление системы невозможно, необходимо применить компенсирующие меры для защиты пользователей:

  • Отключите приоритетное отображение HTML-писем в конфигурационном файле Roundcube, чтобы письма по умолчанию открывались в виде обычного текста.
sed -i "s/\$config\['prefer_html'\] = true;/\$config\['prefer_html'\] = false;/g" /var/www/roundcube/config/config.inc.php
  • Настройте ваш почтовый шлюз (MTA, например Postfix + Amavis или Exim) на жесткую блокировку или помещение в карантин всех входящих писем, содержащих вложения с расширением .svg.
  • Добавьте правило на вашем Web Application Firewall (WAF) для блокировки входящих HTTP-запросов к веб-интерфейсу почты, если в теле запроса (payload) обнаруживается подстрока <animate.
  • Убедитесь, что веб-сервер (Nginx/Apache) отдает SVG-файлы с заголовком Content-Disposition: attachment, что заставит браузер скачивать файл, а не рендерить его содержимое на странице.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей