Software-update - Roundcube Webmail 1.6.16 / 1.7.1

zondag, 24 mei 2026 (19:14) - Tweakers

In dit artikel:

Roundcube Webmail heeft beveiligingsupdates uitgebracht voor de 1.6 LTS- en 1.7-reeksen: versies 1.6.16 en 1.7.1. De patches dichten meerdere recent gemelde kwetsbaarheden die impact kunnen hebben op vertrouwelijkheid, integriteit en beschikbaarheid van systemen, en sommige zijn exploiteerbaar zonder inlog (pre-auth).

Belangrijkste fixes:
- opgeslagen XSS/HTML/CSS-injectie in het onderwerpveld van het conceptherstel
- CSS-injectie via SVG omzeilen van de HTML-sanitizer
- pre-auth SQL-injectie in de virtuser_query-plugin door preg_replace-escape bypass
- SSRF en ophalen van lokale/private URL's via specifieke URL-constructies
- omzeilen van blokkering van externe afbeeldingen via CSS var()
- pre-auth willekeurige bestandsverwijdering door session poisoning bij Redis/Memcache
- code-injectie in LDAP-autovalues: ondersteuning voor code-evaluatie verwijderd

Roundcube biedt een webmailinterface met functies zoals gedeelde mappen, IDN-ondersteuning en SMTP-afleverstatus. Volledige changelogs staan op de GitHub-releasepagina’s voor 1.6.16 en 1.7.1. Administrators wordt dringend aangeraden alle productie-installaties van Roundcube 1.6.x en 1.7.x direct bij te werken.

Lees het volledige artikel