Plateforme
roundcube
Composant
roundcube/roundcubemail
Corrigé dans
1.5.14
1.6.14
1.7-rc5
La CVE-2026-35539 est une vulnérabilité de type Cross-Site Scripting (XSS) affectant Roundcube Webmail. Elle est due à une désinfection HTML insuffisante des pièces jointes en mode aperçu. Un attaquant peut exploiter cette faille si la victime prévisualise une pièce jointe text/html malveillante. Cette vulnérabilité affecte les versions de Roundcube Webmail antérieures à 1.5.14 et 1.6.14. Elle est corrigée dans la version 1.6.14.
Une vulnérabilité de Cross-Site Scripting (XSS) a été identifiée dans Roundcube Webmail pour les versions antérieures à 1.5.14 et 1.6.14. Cette vulnérabilité découle d'une sanitisation HTML insuffisante lors de la prévisualisation des pièces jointes. Un attaquant pourrait exploiter cela pour injecter du code malveillant dans la page web, qui s'exécuterait ensuite dans le navigateur de la victime. Cela pourrait permettre à l'attaquant de voler des informations sensibles, telles que des identifiants de connexion, ou de rediriger l'utilisateur vers des sites web malveillants. Le score CVSS pour cette vulnérabilité est de 6.1, ce qui indique un risque modéré à élevé, en fonction du contexte et de la sensibilité des informations impliquées. La sanitisation inadéquate du HTML dans la fonctionnalité de prévisualisation permet l'injection de scripts nuisibles.
La vulnérabilité est déclenchée lorsqu'un utilisateur ouvre un e-mail contenant une pièce jointe HTML et prévisualise le contenu. L'attaquant doit être en mesure d'envoyer un e-mail avec une pièce jointe HTML spécialement conçue pour exploiter la vulnérabilité. L'efficacité de l'attaque dépend de la configuration du serveur et des mesures de sécurité en place. Il est important de noter que la victime doit interagir avec l'e-mail (l'ouvrir et prévisualiser la pièce jointe) pour que la vulnérabilité soit activée. L'attaquant ne peut pas exploiter la vulnérabilité à distance sans l'interaction de l'utilisateur. La vulnérabilité réside dans le processus de rendu HTML au sein de la fonctionnalité de prévisualisation.
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
Vecteur CVSS
La solution pour atténuer cette vulnérabilité est de mettre à jour Roundcube Webmail vers la version 1.7-rc5 ou ultérieure. Cette version inclut une correction qui traite de la sanitisation HTML insuffisante lors de la prévisualisation des pièces jointes. Il est fortement recommandé d'appliquer cette mise à jour dès que possible pour se protéger contre d'éventuelles attaques. De plus, les utilisateurs doivent faire preuve de prudence lors de l'ouverture de pièces jointes HTML provenant de sources inconnues ou suspectes. La surveillance des journaux du serveur à la recherche d'activités inhabituelles peut également aider à détecter et à répondre aux tentatives d'exploitation potentielles. La mise à jour est la mesure la plus efficace et est recommandée par rapport à toute solution temporaire.
Actualice Roundcube Webmail a la versión 1.5.14 o 1.6.14 o superior. Esto corrige la sanitización insuficiente de archivos adjuntos HTML en el modo de vista previa, previniendo la ejecución de XSS. La actualización se puede realizar descargando la última versión desde el sitio web oficial de Roundcube y siguiendo las instrucciones de actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
XSS (Cross-Site Scripting) est un type de vulnérabilité de sécurité qui permet à un attaquant d'injecter des scripts malveillants dans des pages web consultées par d'autres utilisateurs.
Vérifiez la version de Roundcube Webmail dans la page d'administration ou les informations de l'application. Comparez cette version avec la version recommandée (1.7-rc5 ou ultérieure).
Modifiez vos mots de passe immédiatement, vérifiez votre compte à la recherche d'activités suspectes et informez votre fournisseur de services de messagerie.
Activez l'authentification à deux facteurs (2FA) sur votre compte de messagerie et soyez prudent lorsque vous ouvrez des pièces jointes provenant de sources inconnues.
La mise à jour ne devrait pas affecter vos e-mails. Cependant, il est toujours recommandé de sauvegarder vos données avant d'effectuer une mise à jour.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.