Synthèse
Roundcube a publié des mises à jour de sécurité pour corriger trois vulnérabilités – dont l’une est « critique » – dans son client de messagerie Webmail basé sur un navigateur. Cette vulnérabilité, si elle est exploitée, pourrait permettre à un attaquant distant d’obtenir un accès non autorisé à des informations sensibles sur le système cible.
Risque
Impact estimé de la vulnérabilité sur la communauté de référence : ÉLEVÉ/ORANGE (66,66/100)1.
Typologie
- Information Disclosure
- Data Manipulation
Produits et/ou versions concernés
Webmail Roundcube
- versions antérieures à 1.5.8
- 1.6.x, versions antérieures à 1.6.8
Mesures d’atténuation
Conformément aux déclarations de l’éditeur, il est recommandé de mettre à jour les produits vulnérables en suivant les indications des bulletins de sécurité rapportés dans la section Références.
Identificateurs de vulnérabilité uniques
Références
https://github.com/roundcube/roundcubemail/releases
https://github.com/roundcube/roundcubemail/releases/tag/1.5.8
https://github.com/roundcube/roundcubemail/releases/tag/1.6.8
https://roundcube.net/news/2024/08/04/security-updates-1.6.8-and-1.5.8
1Cette estimation est réalisée en tenant compte de différents paramètres, parmi lesquels : CVSS, disponibilité des patch/workaround et PoC, diffusion des logiciels/appareils concernés dans la communauté de référence.
