أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) تحذيراً عاجلاً يقضي بإدراج ثغرتين أمنيتين في منصة البريد الإلكتروني الشهيرة Roundcube Webmail ضمن قائمة الثغرات المستغلة بفعالية (KEV). وألزمت الوكالة الجهات الفيدرالية بضرورة معالجة هذه الثغرات في غضون 3 أسابيع، مع تحديد تاريخ 13 مارس 2026 كمهلة نهائية للتنفيذ.
ويأتي هذا الإجراء بعد تقارير تقنية أكدت وجود استغلال نشط لهاتين الثغرتين في هجمات واقعية، رغم تكتم الوكالة على تفاصيل الحملات الهجومية أو هوية الجهات المنفذة والضحايا المستهدفين.
وتكتسب هذه الإشعارات أهمية بالغة نظراً لانتشار Roundcube Webmail كواجهة افتراضية في بيئات الاستضافة ومنصات مثل cPanel، ما يوسع نطاق المخاطر لدى مزودي الخدمات المدارة وعملائهم.
مخاطر تنفيذ الأوامر البرمجية والوصول غير المصرح به
ترتبط الثغرة الأولى، والمعرفة برمز CVE-2025-49113، بخلل يسمح بتنفيذ أوامر عن بُعد بعد إتمام عملية المصادقة، وتؤثر في الإصدارات الأقدم من 1.5.10 وسلسلة 1.6.x ما قبل 1.6.11. وينتج هذا الخلل عن غياب التحقق من مدخلات برمجية معينة، وهو ما يؤدي إلى ظاهرة تقنية تُعرف باسم PHP Object Deserialization، وهي عملية إعادة بناء كائنات برمجية من بيانات غير موثوقة تمنح المهاجم القدرة على تغيير سلوك التطبيق بشكل غير مشروع.
ورغم أن استغلال الثغرة يتطلب الحصول على بيانات اعتماد مسروقة أولاً، إلا أن المركز الكندي للأمن السيبراني أشار إلى إمكانية دمجها مع ثغرات أخرى مثل CVE-2024-42009 للوصول إلى شرط المصادقة المطلوب. وقد تباينت تقييمات خطورة هذه الثغرة بين الجهات التقنية، حيث منحتها قاعدة البيانات الوطنية للثغرات NVD درجة 8.8، بينما رفعت منظمة MITRE تقييمها إلى 9.9، وهو ما يضعها في فئة المخاطر الحرجة جداً.
استغلال ملفات الوسائط وحماية جلسات المستخدمين
تتعلق الثغرة الثانيةCVE-2025-68461 بنمط هجمات حقن البرمجيات عبر المواقع، وتحديداً من خلال وسم animate عبر محتوى SVG.. وتسمح هذه الثغرة للمهاجم بحقن شيفرات برمجية تعمل مباشرة داخل متصفح المستخدم عند عرضه لمحتوى خبيث، وهو ما يهدد بفتح ثغرات في جلسات العمل والبيانات المعروضة على واجهة الويب.
وتؤثر هذه المشكلة في إصدارات Roundcube قبل 1.5.12 و1.6.12، حيث صُنفت بدرجات خطورة تتراوح بين المتوسطة والعالية بناء على سهولة استغلالها التي لا تتطلب تعقيداً كبيراً.
وقد أكدت التقارير التقنية أن المهاجمين بدأوا في استغلال هذه الثغرة بسرعة ملحوظة عقب نشر تفاصيلها، ما يبرز الحاجة الماسة لتطبيق سياسات محتوى صارمة وحماية ملفات تعريف الارتباط في بيئات البريد المؤسسي والحكومي.
استراتيجيات الاستجابة وتحديات الاستضافة المشتركة
أصدر مطورو Roundcube تحديثات أمنية لمعالجة هذه الثغرات، شملت الإصدارات 1.6.11 و1.5.10 للثغرة الأولى، و1.6.12 و1.5.12 للثغرة الثانية، مع توصيات مشددة بتحديث الأنظمة الإنتاجية فوراً.
وتواجه شركات الاستضافة المشتركة تحدياً كبيراً في إدارة هذه التحديثات نظراً لانتشار المنصة لدى أعداد هائلة من المستخدمين، حيث تظهر أدوات رصد الإنترنت وجود أكثر من 46 ألف مثيل من Roundcube متاحاً بشكل مباشر على الشبكة.
وتتضمن متطلبات CISA الإلزامية تطبيق التخفيفات البرمجية التي وفرها المورد أو إيقاف استخدام المنتج في حال تعذر تأمينه. كما تبرز التوصيات التقنية ضرورة تفعيل خاصية تحديد معدل الطلبات ومراقبة محاولات الدخول المتكررة لرصد أي أنماط مشبوهة تستهدف كلمات المرور، خاصة وأن تأمين حساب واحد يساهم في منع سلسلة الهجمات التي تعتمد على المصادقة المسبقة.
