Kritisk sårbarhet i Roundcube webmail

Roundcube informerar om en säkerhetsuppdatering som åtgärdar flera sårbarheter i Roundcube Webmail. Ingen av sårbarheterna har i nuläget tilldelats CVE eller CVSS-klassificering. Den som framstår som mest allvarlig har enligt CERT-SE:s bedömning sannolikt en CVSS-klassning på mellan 9.0 och 10.0, beroende på utnyttjandets komplexitet. Bristen möjliggör för en oauntetiserad angripare att skriva godtyckliga filer till servern som Roundcube körs på. En annan av sårbarheterna ger en angripare möjlighet att ändra lösenord, utan att känna till det befintliga. [1]

Påverkade produkter

Roundcube Webmail innan version 1.7-rc5
Roundcube Webmail innan version 1.6.14
Roundcube Webmail innan version 1.5.14

[1]

Rekommendationer

CERT-SE rekommenderar att skyndsamt följa leverantörens rekommendationer samt att undersöka sina system efter tecken på intrång. [1]

Källor

[1] https://roundcube.net/news/2026/03/18/security-updates-1.7-rc5-1.6.14-1.5.14