Software-update - Roundcube Webmail 1.5.14 / 1.6.14 / 1.7rc5

In dit artikel:

Roundcube Webmail heeft recent beveiligingsupdates uitgebracht voor zijn stabiele LTS-takken en een nieuwe release candidate van de komende 1.7-versie (1.7-rc5). De patches, beschikbaar via de releasepagina’s op GitHub, dichten een reeks kwetsbaarheden die door onderzoekers zijn gerapporteerd.

Belangrijke opgeloste problemen omvatten onder meer: een pre-auth arbitrary file write door onveilige deserialisatie in Redis/Memcache-sessies; een fout waardoor een wachtwoord gewijzigd kon worden zonder het oude wachtwoord; IMAP-injectie gecombineerd met een CSRF-bypass in de zoekfunctie; meerdere omzeilingen van blokkering van externe afbeeldingen via SVG- en body-attributen; een bypass van fixed-position mitigatie met !important; een XSS-kwetsbaarheid in de HTML-voorvertoning van bijlagen; en SSRF/informatie‑lekken via stylesheet‑links naar lokale hosts.

Beheerders wordt sterk aangeraden productie-installaties zo snel mogelijk bij te werken. Volledige changelogs en downloadlinks staan in de release notes op GitHub.