Origine : bjCSIRT
Numéro : 2026/ALERTE/067
APERÇU :
Une vulnérabilité affectant Roundcube Webmail permettrait à un acteur malveillant non authentifié de provoquer une falsification de requête côté serveur (SSRF) ainsi qu’une divulgation d’informations sur les systèmes affectés.
DESCRIPTION
Roundcube Webmail est un client de messagerie web open-source largement déployé.
Ce produit est affecté par une vulnérabilité libellée CVE-2026-62643 résultant d’une sanitisation insuffisante des feuilles de style CSS contenues dans les messages électroniques au format HTML. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant non authentifié d’envoyer un courriel spécialement conçu contenant des liens CSS vers des hôtes internes, afin de provoquer une falsification de requête côté serveur (SSRF) ou une divulgation d’informations. Elle résulte d’une correction incomplète des vulnérabilités CVE-2026-35540 et CVE-2026-48843.
Cette vulnérabilité est classée élevée avec un score de sévérité de 7.2 selon le CVSS V3.1.
IMPACT
- Falsification de requête côté serveur (SSRF) ;
- Divulgation d’informations sur le réseau interne ;
- Atteinte à la confidentialité des données.
SYSTEMES AFFECTÉS
- Les versions 1.6.0 à 1.6.16 de Roundcube Webmail ;
- Les versions 1.7.0 à 1.7.1 de Roundcube Webmail.
MESURES À PRENDRE :
Mettre à jour Roundcube Webmail vers les versions 1.6.17 ou 1.7.2 ou ultérieure.
RÉFÉRENCES :
