Platform
roundcube
Component
roundcube/roundcubemail
Opgelost in
1.5.14
1.6.14
1.7-rc5
CVE-2026-35537 beschrijft een kwetsbaarheid van het type Insecure Deserialization in Roundcube Webmail. Deze kwetsbaarheid kan misbruikt worden door ongeauthenticeerde aanvallers om willekeurige bestanden te schrijven via speciaal opgemaakte sessiegegevens in de redis/memcache sessiehandler. De kwetsbaarheid treft versies van Roundcube Webmail vóór 1.5.14 en 1.6.14, evenals versies tot en met 1.7-rc4. Een fix is beschikbaar in versie 1.7-rc5.
CVE-2026-35537 in Roundcube Webmail, die versies vóór 1.5.14 en 1.6.14 treft, vormt een aanzienlijk risico vanwege onveilige deserialisatie binnen de Redis/Memcache sessiehandler. Een niet-geauthenticeerde aanvaller kan deze fout uitbuiten om willekeurige bestandsschrijfoperaties op het systeem uit te voeren. Dit kan leiden tot de wijziging of verwijdering van kritieke bestanden, waardoor de integriteit van de mailserver wordt aangetast en mogelijk kwaadaardige code kan worden uitgevoerd. De ernst van deze kwetsbaarheid ligt in de eenvoud waarmee een aanvaller deze kan uitbuiten zonder dat er inloggegevens nodig zijn, waardoor het een aantrekkelijk doelwit is voor kwaadwillende actoren. Het ontbreken van de vereiste authenticatie voor de exploitatie vergroot het risico, aangezien iedereen met netwerktoegang deze zwakte kan proberen te benutten. Het is cruciaal om de beveiligingsupdate toe te passen om dit risico te beperken.
De kwetsbaarheid wordt uitgebuit door kwaadaardige sessiegegevens in het Redis/Memcache-systeem te injecteren. Deze gegevens bevatten geserialiseerde code die, wanneer deze door Roundcube Webmail wordt gedeserialiseerd, de aanvaller in staat stelt willekeurige commando's op de server uit te voeren. Het ontbreken van validatie van de sessiegegevens vóór deserialisatie is de belangrijkste oorzaak van de kwetsbaarheid. Een aanvaller kan een sessie maken met kwaadaardige gegevens en vervolgens proberen toegang te krijgen tot Roundcube Webmail, wat de deserialisatie en de uitvoering van de kwaadaardige code zal triggeren. De exploitatie vereist geen authenticatie, waardoor de aanval gemakkelijker wordt. Penetratie testen worden aanbevolen om potentiële zwakke punten in de serverconfiguratie en beveiliging te identificeren.
Exploit Status
EPSS
0.04% (12% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen oplossing om CVE-2026-35537 aan te pakken, is het bijwerken van Roundcube Webmail naar versie 1.5.14 of hoger, of naar versie 1.6.14 of hoger. Versie 1.7-rc5 bevat ook de correctie. Deze update corrigeert de onveilige deserialisatie in de Redis/Memcache sessiehandler, waardoor de uitvoering van willekeurige bestandsschrijfoperaties wordt voorkomen. Naast de update wordt aanbevolen om de serverconfiguratie te controleren om ervoor te zorgen dat Redis/Memcache-sessies adequaat worden beschermd en geïsoleerd. Het monitoren van serverlogs op verdachte activiteiten kan ook helpen bij het detecteren en reageren op mogelijke exploitatiepogingen. Als onmiddellijke bijwerking niet mogelijk is, overweeg dan het implementeren van aanvullende beveiligingsmaatregelen, zoals het beperken van de netwerktoegang en het implementeren van firewalls.
Actualice Roundcube Webmail a la versión 1.6.14 o superior para mitigar la vulnerabilidad de deserialización insegura. Esta actualización corrige la falla que permite a atacantes no autenticados realizar operaciones de escritura de archivos arbitrarios a través de datos de sesión manipulados.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Versies vóór 1.5.14 en 1.6.14 zijn kwetsbaar voor deze kwetsbaarheid.
Controleer de versie van Roundcube Webmail die u gebruikt. Als deze ouder is dan de genoemde versies, bent u kwetsbaar.
Onveilige deserialisatie treedt op wanneer geserialiseerde gegevens worden gedeserialiseerd zonder de juiste validatie, waardoor een aanvaller de mogelijkheid heeft om kwaadaardige code in te sluizen.
Beperk de netwerktoegang, implementeer firewalls en monitor de serverlogs.
Momenteel zijn er geen specifieke tools, maar penetratietests kunnen helpen bij het identificeren van de kwetsbaarheid.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.