Roundcube Webmail: Désérialisation non sécurisée dans le gestionnaire de session redis/memcache
Plateforme
roundcube
Composant
roundcube/roundcubemail
Corrigé dans
1.5.14
1.6.14
1.7-rc5
La vulnérabilité CVE-2026-35537 est une faille de désérialisation insecure identifiée dans Roundcube Webmail, affectant les versions antérieures à 1.5.14 et 1.6.14, ainsi que 1.7-rc4. Cette faille permet à un attaquant non authentifié d'exploiter le gestionnaire de session Redis/Memcache pour écrire des fichiers arbitraires sur le système. Une version corrigée, 1.7-rc5, est disponible pour remédier à ce problème.
Impact et Scénarios d'Attaque
La vulnérabilité CVE-2026-35537 dans Roundcube Webmail, affectant les versions antérieures à 1.5.14 et 1.6.14, présente un risque important en raison de la désérialisation non sécurisée dans le gestionnaire de session Redis/Memcache. Un attaquant non authentifié pourrait exploiter cette faille pour effectuer des opérations d'écriture arbitraires sur des fichiers du système. Cela pourrait entraîner la modification ou la suppression de fichiers critiques, compromettant l'intégrité du serveur de messagerie et permettant potentiellement l'exécution de code malveillant. La gravité de cette vulnérabilité réside dans la facilité avec laquelle un attaquant peut l'exploiter sans avoir besoin d'identifiants, ce qui en fait une cible attrayante pour les acteurs malveillants. L'absence d'authentification nécessaire à l'exploitation amplifie le risque, car toute personne ayant accès au réseau pourrait tenter de profiter de cette faiblesse. Il est crucial d'appliquer la mise à jour de sécurité pour atténuer ce risque.
Contexte d'Exploitation
La vulnérabilité est exploitée en injectant des données de session malveillantes dans le système Redis/Memcache. Ces données contiennent du code sérialisé qui, lors de la désérialisation par Roundcube Webmail, permet à l'attaquant d'exécuter des commandes arbitraires sur le serveur. L'absence de validation des données de session avant la désérialisation est la cause principale de la vulnérabilité. Un attaquant peut créer une session avec des données malveillantes, puis tenter d'accéder à Roundcube Webmail, ce qui déclenchera la désérialisation et l'exécution du code malveillant. L'exploitation ne nécessite pas d'authentification, ce qui facilite l'attaque. Il est recommandé de réaliser des tests d'intrusion pour identifier les points faibles potentiels dans la configuration et la sécurité du serveur.
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Élevée — nécessite une condition de course, configuration non standard ou circonstances spécifiques.
- Privileges Required
- Aucun — sans authentification. Aucune identifiant requis pour exploiter.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Aucun — aucun impact sur la confidentialité.
- Integrity
- Faible — l'attaquant peut modifier certaines données avec un impact limité.
- Availability
- Aucun — aucun impact sur la disponibilité.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
La solution recommandée pour résoudre CVE-2026-35537 est de mettre à jour Roundcube Webmail vers la version 1.5.14 ou supérieure, ou vers la version 1.6.14 ou supérieure. La version 1.7-rc5 inclut également la correction. Cette mise à jour corrige la désérialisation non sécurisée dans le gestionnaire de session Redis/Memcache, empêchant l'exécution d'opérations d'écriture arbitraires. En plus de la mise à jour, il est recommandé de vérifier la configuration du serveur pour s'assurer que les sessions Redis/Memcache sont correctement protégées et isolées. Surveiller les journaux du serveur à la recherche d'activités suspectes peut également aider à détecter et à répondre aux tentatives d'exploitation potentielles. Si la mise à jour immédiate n'est pas possible, envisagez de mettre en œuvre des mesures de sécurité supplémentaires, telles que la restriction de l'accès au réseau et la mise en œuvre de pare-feu.
Comment corrigertraduction en cours…
Actualice Roundcube Webmail a la versión 1.6.14 o superior para mitigar la vulnerabilidad de deserialización insegura. Esta actualización corrige la falla que permite a atacantes no autenticados realizar operaciones de escritura de archivos arbitrarios a través de datos de sesión manipulados.
Newsletter Sécurité CVE
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Questions fréquentes
Qu'est-ce que CVE-2026-35537 — Insecure Deserialization dans roundcube/roundcubemail ?
Les versions antérieures à 1.5.14 et 1.6.14 sont vulnérables à cette vulnérabilité.
Suis-je affecté(e) par CVE-2026-35537 dans roundcube/roundcubemail ?
Vérifiez la version de Roundcube Webmail que vous utilisez. Si elle est antérieure aux versions mentionnées, vous êtes vulnérable.
Comment corriger CVE-2026-35537 dans roundcube/roundcubemail ?
La désérialisation non sécurisée se produit lorsque des données sérialisées sont désérialisées sans validation appropriée, ce qui permet à un attaquant d'injecter du code malveillant.
CVE-2026-35537 est-il activement exploité ?
Envisagez de restreindre l'accès au réseau, de mettre en œuvre des pare-feu et de surveiller les journaux du serveur.
Où trouver l'avis officiel de roundcube/roundcubemail pour CVE-2026-35537 ?
Actuellement, il n'existe pas d'outils spécifiques, mais les tests d'intrusion peuvent aider à identifier la vulnérabilité.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.