Multiples vulnérabilités affectant Roundcube Webmail

  • Auteur/autrice de la publication :

Origine : bjCSIRT

Numéro : 2026/ALERTE/043

APERÇU :

De multiples vulnérabilités ont été découvertes dans Roundcube Webmail. Elles permettent à un acteur malveillant d’effectuer des injections SQL sans authentification, de provoquer des requêtes forgées côté serveur (SSRF), de divulguer des informations sensibles et d’injecter du code arbitraire.  

DESCRIPTION

Roundcube Webmail est un client de messagerie web open source qui permet aux utilisateurs d’accéder à leur messagerie électronique et de la gérer via un navigateur web. 

Ce client de messagerie est affecté par plusieurs vulnérabilités libellées comme suit : 

CVE-2026-48842 : Cette vulnérabilité résulte d’un contournement du mécanisme d’échappement par antislash dans la fonction preg_replace() au sein du plugin virtuser_query. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant non authentifié de réaliser des injections SQL sur les systèmes affectés. 

Cette vulnérabilité est classée élevée avec un score de sévérité de 8.1 selon le CVSS v3.1. 

CVE-2026-48843 : Cette vulnérabilité découle d’une validation insuffisante des feuilles de style (CSS) intégrées dans les messages au format HTML. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant non authentifié de déclencher des requêtes forgées côté serveur (SSRF) ou de divulguer des informations sensibles lorsqu’un utilisateur consulte un courriel malveillant.  

Cette vulnérabilité est classée élevée avec un score de sévérité de 7.2 selon le CVSS v3.1. 

CVE-2026-48844 : Cette vulnérabilité est due à la présence d’une logique d’évaluation dynamique de code non sécurisée dans l’option autovalues du module LDAP. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant authentifié d’injecter du code arbitraire sur les systèmes affectés.  

Cette vulnérabilité est classée élevée avec un score de sévérité de 7.5 selon le CVSS v3.1. 

IMPACT

  • Atteinte à la confidentialité et à la disponibilité des données ; 
  • Injection de code ; 
  • Compromission de l’intégrité du système. 

SYSTEMES AFFECTÉS 

  • Les versions 1.6.x antérieures à 1.6.16 de Roundcube Webmail ;  
  • Les versions 1.7.x antérieures à 1.7.1 de Roundcube Webmail. 

 MESURES À PRENDRE :

Mettre à jour Roundcube Webmail vers sa dernière version stable. 

RÉFÉRENCES :

  • https://nvd.nist.gov/vuln/detail/CVE-2026-48842 ; 
  • https://nvd.nist.gov/vuln/detail/CVE-2026-48843 ; 
  • https://nvd.nist.gov/vuln/detail/CVE-2026-48844.