CISA přidala 20. února 2026 do katalogu KEV dvě zranitelnosti v open-source poštovním klientu RoundCube Webmail, které jsou aktivně zneužívány útočníky. RoundCube je rozšířen zejména ve veřejné správě a středních organizacích – správci by měli prověřit verzi nasazeného software.

Do katalogu Known Exploited Vulnerabilities (KEV) přibyly dvě chyby v RoundCube Webmail: CVE-2025-49113, zranitelnost deserializace nedůvěryhodných dat umožňující vzdálené spuštění kódu, a CVE-2025-68461, chyba typu cross-site scripting (XSS), která útočníkovi při správném zneužití umožňuje spustit škodlivý skript v prohlížeči přihlášeného uživatele.

RoundCube je oblíbeným cílem kybernetických skupin právě proto, že jde o webový poštovní klient hojně nasazovaný ve veřejné správě, vzdělávacích institucích a neziskových organizacích, které nemají prostředky na komerční řešení. Zranitelnosti v RoundCube již v minulosti zneužívaly skupiny jako APT28 (ruská vojenská rozvědka GRU), Winter Vivern nebo TAG-70, převážně pro účely shromažďování zpravodajských informací z diplomatické a vládní komunikace.