Refine your search
9 vulnerabilities found for Roundcube Webmail by Roundcube
CERTFR-2025-ALE-008
Vulnerability from certfr_alerte
[Mise à jour du 06 juin 2025]
Une preuve de concept est publiquement disponible.
[Publication initiale]
Le 01 juin 2025, Roundcube a publié des correctifs concernant une vulnérabilité critique affectant son portail de messagerie ainsi que tous les produits l'incluant (par exemple cPanel et Plesk).
Cette vulnérabilité permet à un utilisateur authentifié d'exécuter du code arbitraire à distance.
L'éditeur ne mentionne pas d'identifiant CVE.
Des détails techniques sur cette vulnérabilité ont été publiés avec l'identifiant CVE-2025-49113. Le CERT-FR anticipe la disponibilité imminente de codes d'exploitation et recommande fortement de mettre à jour dans les plus brefs délais au vu du nombre important de produits exposés.
Solutions
Les versions correctives 1.5.10 et 1.6.11 ont été publiées par l'éditeur.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Impacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Roundcube | Roundcube Webmail | Roundcube Webmail versions 1.6.x antérieures à 1.6.11 | ||
| Roundcube | Roundcube Webmail | Roundcube Webmail versions antérieures à 1.5.10 |
References
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Roundcube Webmail versions 1.6.x ant\u00e9rieures \u00e0 1.6.11",
"product": {
"name": "Roundcube Webmail",
"vendor": {
"name": "Roundcube",
"scada": false
}
}
},
{
"description": "Roundcube Webmail versions ant\u00e9rieures \u00e0 1.5.10",
"product": {
"name": "Roundcube Webmail",
"vendor": {
"name": "Roundcube",
"scada": false
}
}
}
],
"affected_systems_content": "",
"closed_at": "2025-07-21",
"content": "## Solutions\n\nLes versions correctives 1.5.10 et 1.6.11 ont \u00e9t\u00e9 publi\u00e9es par l\u0027\u00e9diteur.\n\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des correctifs (cf. section Documentation).",
"cves": [
{
"name": "CVE-2025-49113",
"url": "https://www.cve.org/CVERecord?id=CVE-2025-49113"
}
],
"initial_release_date": "2025-06-05T00:00:00",
"last_revision_date": "2025-07-21T00:00:00",
"links": [
{
"title": "Avis CERT-FR CERTFR-2025-AVI-0468 du 02 juin 2025",
"url": "https://cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0468/"
}
],
"reference": "CERTFR-2025-ALE-008",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2025-06-05T00:00:00.000000"
},
{
"description": "Une preuve de concept est publiquement disponible.",
"revision_date": "2025-06-06T00:00:00.000000"
},
{
"description": " Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
"revision_date": "2025-07-21T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
}
],
"summary": "\u003cspan class=\"important-content\"\u003e\u003cb\u003e[Mise \u00e0 jour du 06 juin 2025]\u003c/b\u003e\u003c/span\u003e\u003c/br\u003e\nUne preuve de concept est publiquement disponible.\n\n[Publication initiale]\u003c/br\u003e\nLe 01 juin 2025, Roundcube a publi\u00e9 des correctifs concernant une vuln\u00e9rabilit\u00e9 critique affectant son portail de messagerie ainsi que tous les produits l\u0027incluant (par exemple cPanel et Plesk).\n\nCette vuln\u00e9rabilit\u00e9 permet \u00e0 un utilisateur authentifi\u00e9 d\u0027ex\u00e9cuter du code arbitraire \u00e0 distance.\n\nL\u0027\u00e9diteur ne mentionne pas d\u0027identifiant CVE.\n\nDes d\u00e9tails techniques sur cette vuln\u00e9rabilit\u00e9 ont \u00e9t\u00e9 publi\u00e9s avec l\u0027identifiant\u00a0CVE-2025-49113. Le CERT-FR anticipe la disponibilit\u00e9 imminente de codes d\u0027exploitation et recommande fortement de mettre \u00e0 jour dans les plus brefs d\u00e9lais au vu du nombre important de produits expos\u00e9s.",
"title": "[M\u00e0J] Vuln\u00e9rabilit\u00e9 dans Roundcube",
"vendor_advisories": [
{
"published_at": "2025-06-01",
"title": "Bulletin de s\u00e9curit\u00e9 Roundcube security-updates-1.6.11-and-1.5.10",
"url": "https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10"
}
]
}
CERTFR-2024-ALE-010
Vulnerability from certfr_alerte
Le 4 août 2024, Roundcube a publié des correctifs concernant les vulnérabilités critiques CVE-2024-42008 et CVE-2024-42009 affectant son serveur de courriel.
Ces vulnérabilités permettent des injections de code indirectes à distance (XSS) qui peuvent, par exemple, conduire à la récupération du contenu des courriels de l'utilisateur. De plus, l’attaquant peut également être en mesure d’envoyer des courriels en se faisant passer pour la victime.
La vulnérabilité CVE-2024-42009 peut être exploitée par une simple ouverture du courriel piégé tandis que la vulnérabilité CVE-2024-42008 nécessite que l’utilisateur effectue une action supplémentaire.
Roundcube est un produit en source ouverte et les correctifs sont accessibles publiquement. Le CERT-FR anticipe donc la publication à court terme de codes d’exploitation publics. Des vulnérabilités de ce type ont été activement exploitées sur des serveurs Roundcube Webmail par le passé.
Solutions
Les versions correctives 1.6.8 et 1.5.8 LTS ont été publiées.
De plus, l'exploitation des vulnérabilités nécessite l'ouverture des courriels voire de cliquer sur des éléments qu'ils contiennent. Le CERT-FR recommande donc de limiter au maximum l'interaction avec des messages d'origine non vérifiée.
Impacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Roundcube | Roundcube Webmail | Roundcube Webmail versions 1.5.x antérieures à 1.5.8 | ||
| Roundcube | Roundcube Webmail | Roundcube Webmail versions 1.6.x antérieures à 1.6.8 |
References
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Roundcube Webmail versions 1.5.x ant\u00e9rieures \u00e0 1.5.8",
"product": {
"name": "Roundcube Webmail",
"vendor": {
"name": "Roundcube",
"scada": false
}
}
},
{
"description": "Roundcube Webmail versions 1.6.x ant\u00e9rieures \u00e0 1.6.8",
"product": {
"name": "Roundcube Webmail",
"vendor": {
"name": "Roundcube",
"scada": false
}
}
}
],
"affected_systems_content": "",
"closed_at": "2024-10-07",
"content": "## Solutions\n\nLes versions correctives 1.6.8 et 1.5.8 LTS ont \u00e9t\u00e9 publi\u00e9es. \n\nDe plus, l\u0027exploitation des vuln\u00e9rabilit\u00e9s n\u00e9cessite l\u0027ouverture des courriels voire de cliquer sur des \u00e9l\u00e9ments qu\u0027ils contiennent. Le CERT-FR recommande donc de limiter au maximum l\u0027interaction avec des messages d\u0027origine non v\u00e9rifi\u00e9e. ",
"cves": [
{
"name": "CVE-2024-42009",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-42009"
},
{
"name": "CVE-2024-42008",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-42008"
},
{
"name": "CVE-2024-42010",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-42010"
}
],
"initial_release_date": "2024-08-09T00:00:00",
"last_revision_date": "2024-10-07T00:00:00",
"links": [
{
"title": "Avis CERTFR-2024-AVI-0647 du 5 ao\u00fbt 2024",
"url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0647/"
}
],
"reference": "CERTFR-2024-ALE-010",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2024-08-09T00:00:00.000000"
},
{
"description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
"revision_date": "2024-10-07T00:00:00.000000"
}
],
"risks": [
{
"description": "Injection de code indirecte \u00e0 distance (XSS)"
},
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": "Le 4 ao\u00fbt 2024, Roundcube a publi\u00e9 des correctifs concernant les vuln\u00e9rabilit\u00e9s critiques CVE-2024-42008 et CVE-2024-42009 affectant son serveur de courriel.\n\nCes vuln\u00e9rabilit\u00e9s permettent des injections de code indirectes \u00e0 distance (XSS) qui peuvent, par exemple, conduire \u00e0 la r\u00e9cup\u00e9ration du contenu des courriels de l\u0027utilisateur. De plus, l\u2019attaquant peut \u00e9galement \u00eatre en mesure d\u2019envoyer des courriels en se faisant passer pour la victime.\n\nLa vuln\u00e9rabilit\u00e9 CVE-2024-42009 peut \u00eatre exploit\u00e9e par une simple ouverture du courriel pi\u00e9g\u00e9 tandis que la vuln\u00e9rabilit\u00e9 CVE-2024-42008 n\u00e9cessite que l\u2019utilisateur effectue une action suppl\u00e9mentaire.\n\nRoundcube est un produit en source ouverte et les correctifs sont accessibles publiquement. Le CERT-FR anticipe donc la publication \u00e0 court terme de codes d\u2019exploitation publics.\nDes vuln\u00e9rabilit\u00e9s de ce type ont \u00e9t\u00e9 activement exploit\u00e9es sur des serveurs Roundcube Webmail par le pass\u00e9.",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans Roundcube",
"vendor_advisories": [
{
"published_at": "2024-08-04",
"title": "Bulletin de s\u00e9curit\u00e9 Roundcube",
"url": "https://roundcube.net/news/2024/08/04/security-updates-1.6.8-and-1.5.8"
}
]
}
CERTFR-2025-AVI-0468
Vulnerability from certfr_avis
Une vulnérabilité a été découverte dans Roundcube Webmail. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Impacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Roundcube | Roundcube Webmail | Roundcube Webmail versions 1.5.x antérieures à 1.5.10 | ||
| Roundcube | Roundcube Webmail | Roundcube Webmail versions 1.6.x antérieures à 1.6.11 |
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Roundcube Webmail versions 1.5.x ant\u00e9rieures \u00e0 1.5.10",
"product": {
"name": "Roundcube Webmail",
"vendor": {
"name": "Roundcube",
"scada": false
}
}
},
{
"description": "Roundcube Webmail versions 1.6.x ant\u00e9rieures \u00e0 1.6.11",
"product": {
"name": "Roundcube Webmail",
"vendor": {
"name": "Roundcube",
"scada": false
}
}
}
],
"affected_systems_content": "",
"content": "## Solutions\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des correctifs (cf. section Documentation).",
"cves": [
{
"name": "CVE-2025-49113",
"url": "https://www.cve.org/CVERecord?id=CVE-2025-49113"
}
],
"initial_release_date": "2025-06-02T00:00:00",
"last_revision_date": "2025-06-05T00:00:00",
"links": [],
"reference": "CERTFR-2025-AVI-0468",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2025-06-02T00:00:00.000000"
},
{
"description": "Ajout de la r\u00e9f\u00e9rence vers la CVE associ\u00e9e",
"revision_date": "2025-06-05T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans Roundcube Webmail. Elle permet \u00e0 un attaquant de provoquer une ex\u00e9cution de code arbitraire \u00e0 distance.",
"title": "Vuln\u00e9rabilit\u00e9 dans Roundcube",
"vendor_advisories": [
{
"published_at": "2025-06-01",
"title": "Bulletin de s\u00e9curit\u00e9 Roundcube security-updates-1.6.11-and-1.5.10",
"url": "https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10"
}
]
}
CERTFR-2024-AVI-0647
Vulnerability from certfr_avis
De multiples vulnérabilités ont été découvertes dans Roundcube. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données et une injection de code indirecte à distance (XSS).
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Impacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Roundcube | Roundcube Webmail | Roundcube Webmail versions 1.5.x antérieures à 1.5.8 | ||
| Roundcube | Roundcube Webmail | Roundcube Webmail versions 1.6.x antérieures à 1.6.8 |
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Roundcube Webmail versions 1.5.x ant\u00e9rieures \u00e0 1.5.8",
"product": {
"name": "Roundcube Webmail",
"vendor": {
"name": "Roundcube",
"scada": false
}
}
},
{
"description": "Roundcube Webmail versions 1.6.x ant\u00e9rieures \u00e0 1.6.8",
"product": {
"name": "Roundcube Webmail",
"vendor": {
"name": "Roundcube",
"scada": false
}
}
}
],
"affected_systems_content": "",
"content": "## Solutions\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des correctifs (cf. section Documentation).",
"cves": [
{
"name": "CVE-2024-42009",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-42009"
},
{
"name": "CVE-2024-42008",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-42008"
},
{
"name": "CVE-2024-42010",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-42010"
}
],
"initial_release_date": "2024-08-05T00:00:00",
"last_revision_date": "2024-08-05T00:00:00",
"links": [],
"reference": "CERTFR-2024-AVI-0647",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2024-08-05T00:00:00.000000"
}
],
"risks": [
{
"description": "Injection de code indirecte \u00e0 distance (XSS)"
},
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans Roundcube. Elles permettent \u00e0 un attaquant de provoquer une atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es et une injection de code indirecte \u00e0 distance (XSS).",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans Roundcube",
"vendor_advisories": [
{
"published_at": "2024-08-04",
"title": "Bulletin de s\u00e9curit\u00e9 Roundcube security-updates-1.6.8-and-1.5.8",
"url": "https://roundcube.net/news/2024/08/04/security-updates-1.6.8-and-1.5.8"
}
]
}
CERTFR-2024-AVI-0426
Vulnerability from certfr_avis
De multiples vulnérabilités ont été découvertes dans Roundcube. Elles permettent à un attaquant de provoquer une exécution de code arbitraire et une injection de code indirecte à distance (XSS).
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Impacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Roundcube | Roundcube Webmail | Roundcube Webmail versions 1.6.x antérieures à 1.6.7 | ||
| Roundcube | Roundcube Webmail | Roundcube Webmail versions 1.5.x antérieures à 1.5.7 |
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Roundcube Webmail versions 1.6.x ant\u00e9rieures \u00e0 1.6.7",
"product": {
"name": "Roundcube Webmail",
"vendor": {
"name": "Roundcube",
"scada": false
}
}
},
{
"description": "Roundcube Webmail versions 1.5.x ant\u00e9rieures \u00e0 1.5.7",
"product": {
"name": "Roundcube Webmail",
"vendor": {
"name": "Roundcube",
"scada": false
}
}
}
],
"affected_systems_content": "",
"content": "## Solutions\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des correctifs (cf. section Documentation).",
"cves": [
{
"name": "CVE-2024-37383",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-37383"
}
],
"initial_release_date": "2024-05-21T00:00:00",
"last_revision_date": "2024-10-22T00:00:00",
"links": [],
"reference": "CERTFR-2024-AVI-0426",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2024-05-21T00:00:00.000000"
},
{
"description": "Ajout de l\u0027identifiant CVE-2024-37383",
"revision_date": "2024-10-22T00:00:00.000000"
}
],
"risks": [
{
"description": "Injection de code indirecte \u00e0 distance (XSS)"
},
{
"description": "Ex\u00e9cution de code arbitraire"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans Roundcube. Elles permettent \u00e0 un attaquant de provoquer une ex\u00e9cution de code arbitraire et une injection de code indirecte \u00e0 distance (XSS).",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans Roundcube",
"vendor_advisories": [
{
"published_at": "2024-05-19",
"title": "Bulletin de s\u00e9curit\u00e9 Roundcube security-updates-1.6.7-and-1.5.7",
"url": "https://roundcube.net/news/2024/05/19/security-updates-1.6.7-and-1.5.7"
}
]
}
CERTFR-2023-AVI-0914
Vulnerability from certfr_avis
Une vulnérabilité a été découverte dans Roundcube Webmail. Elle permet à un attaquant de provoquer une injection de code indirecte à distance (XSS).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Roundcube | Roundcube Webmail | Roundcube Webmail versions 1.5.x antérieures à 1.5.6 | ||
| Roundcube | Roundcube Webmail | Roundcube Webmail versions 1.6.x antérieures à 1.6.5 |
References
| Title | Publication Time | Tags | |
|---|---|---|---|
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Roundcube Webmail versions 1.5.x ant\u00e9rieures \u00e0 1.5.6",
"product": {
"name": "Roundcube Webmail",
"vendor": {
"name": "Roundcube",
"scada": false
}
}
},
{
"description": "Roundcube Webmail versions 1.6.x ant\u00e9rieures \u00e0 1.6.5",
"product": {
"name": "Roundcube Webmail",
"vendor": {
"name": "Roundcube",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [],
"initial_release_date": "2023-11-06T00:00:00",
"last_revision_date": "2023-11-06T00:00:00",
"links": [
{
"title": "Bulletin de s\u00e9curit\u00e9 Roundcube\u00a0security-updates-1.6.5-and-1.5.6 du 05 novembre 2023",
"url": "https://roundcube.net/news/2023/11/05/security-updates-1.6.5-and-1.5.6"
}
],
"reference": "CERTFR-2023-AVI-0914",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2023-11-06T00:00:00.000000"
}
],
"risks": [
{
"description": "Injection de code indirecte \u00e0 distance (XSS)"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans\u003cspan class=\"textit\"\u003e Roundcube\nWebmail\u003c/span\u003e. Elle permet \u00e0 un attaquant de provoquer une injection de\ncode indirecte \u00e0 distance (XSS).\n",
"title": "Vuln\u00e9rabilit\u00e9 dans Roundcube Webmail",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Roundcube security-updates-1.6.5-and-1.5.6 du 05 novembre 2023",
"url": null
}
]
}
CERTFR-2023-AVI-0893
Vulnerability from certfr_avis
Une vulnérabilité a été découverte dans Roundcube Webmail. Elle permet à un attaquant de provoquer une injection de code indirecte à distance (XSS).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Roundcube | Roundcube Webmail | Roundcube Webmail versions 1.6.x antérieures à 1.6.4 | ||
| Roundcube | Roundcube Webmail | Roundcube Webmail versions 1.4.x antérieures à 1.4.15 | ||
| Roundcube | Roundcube Webmail | Roundcube Webmail versions 1.5.x antérieures à 1.5.5 |
References
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Roundcube Webmail versions 1.6.x ant\u00e9rieures \u00e0 1.6.4",
"product": {
"name": "Roundcube Webmail",
"vendor": {
"name": "Roundcube",
"scada": false
}
}
},
{
"description": "Roundcube Webmail versions 1.4.x ant\u00e9rieures \u00e0 1.4.15",
"product": {
"name": "Roundcube Webmail",
"vendor": {
"name": "Roundcube",
"scada": false
}
}
},
{
"description": "Roundcube Webmail versions 1.5.x ant\u00e9rieures \u00e0 1.5.5",
"product": {
"name": "Roundcube Webmail",
"vendor": {
"name": "Roundcube",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2023-5631",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-5631"
}
],
"initial_release_date": "2023-10-26T00:00:00",
"last_revision_date": "2023-10-26T00:00:00",
"links": [],
"reference": "CERTFR-2023-AVI-0893",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2023-10-26T00:00:00.000000"
}
],
"risks": [
{
"description": "Injection de code indirecte \u00e0 distance (XSS)"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans Roundcube Webmail. Elle permet \u00e0\nun attaquant de provoquer une injection de code indirecte \u00e0 distance\n(XSS).\n",
"title": "Vuln\u00e9rabilit\u00e9 dans Roundcube Webmail",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Roundcube security-update-1.6.4-released du 16 octobre 2023",
"url": "https://roundcube.net/news/2023/10/16/security-update-1.6.4-released"
},
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Roundcube security-updates-1.5.5-and-1.4.15 du 16 octobre 2023",
"url": "https://roundcube.net/news/2023/10/16/security-updates-1.5.5-and-1.4.15"
}
]
}
CERTFR-2023-AVI-0786
Vulnerability from certfr_avis
Une vulnérabilité a été découverte dans Roundcube Webmail. Elle permet à un attaquant de provoquer une injection de code indirecte à distance (XSS).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Roundcube | Roundcube Webmail | Roundcube Webmail versions 1.4.x antérieures à 1.4.14 | ||
| Roundcube | Roundcube Webmail | Roundcube Webmail versions 1.6.x antérieures à 1.6.3 | ||
| Roundcube | Roundcube Webmail | Roundcube Webmail versions 1.5.x antérieures à 1.5.4 |
References
| Title | Publication Time | Tags | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
|
|||||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Roundcube Webmail versions 1.4.x ant\u00e9rieures \u00e0 1.4.14",
"product": {
"name": "Roundcube Webmail",
"vendor": {
"name": "Roundcube",
"scada": false
}
}
},
{
"description": "Roundcube Webmail versions 1.6.x ant\u00e9rieures \u00e0 1.6.3",
"product": {
"name": "Roundcube Webmail",
"vendor": {
"name": "Roundcube",
"scada": false
}
}
},
{
"description": "Roundcube Webmail versions 1.5.x ant\u00e9rieures \u00e0 1.5.4",
"product": {
"name": "Roundcube Webmail",
"vendor": {
"name": "Roundcube",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2023-43770",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-43770"
}
],
"initial_release_date": "2023-09-28T00:00:00",
"last_revision_date": "2023-11-13T00:00:00",
"links": [],
"reference": "CERTFR-2023-AVI-0786",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2023-09-28T00:00:00.000000"
},
{
"description": "Ajout de l\u0027identifiant CVE-2023-43770.",
"revision_date": "2023-09-29T00:00:00.000000"
},
{
"description": "Correction lien.",
"revision_date": "2023-11-13T00:00:00.000000"
}
],
"risks": [
{
"description": "Injection de code indirecte \u00e0 distance (XSS)"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans Roundcube Webmail. Elle permet \u00e0\nun attaquant de provoquer une injection de code indirecte \u00e0 distance\n(XSS).\n",
"title": "Vuln\u00e9rabilit\u00e9 dans Roundcube Webmail",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Roundcube 1.5.4 du 18 septembre 2023",
"url": "https://roundcube.net/news/2023/09/18/security-update-1.5.4-released"
},
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Roundcube 1.4.14 du 18 septembre 2023",
"url": "https://roundcube.net/news/2023/09/18/security-update-1.4.14-released"
},
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Roundcube 1.6.3 du 15 septembre 2023",
"url": "https://roundcube.net/news/2023/09/15/security-update-1.6.3-released"
}
]
}
CERTFR-2021-AVI-898
Vulnerability from certfr_avis
De multiples vulnérabilités ont été découvertes dans Roundcube Webmail. Elles permettent à un attaquant de provoquer une atteinte à l'intégrité des données, une atteinte à la confidentialité des données et une injection de code indirecte à distance (XSS).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Roundcube | Roundcube Webmail | Roundcube Webmail LTS versions 1.4.x antérieures à 1.4.12 | ||
| Roundcube | Roundcube Webmail | Roundcube Webmail LTS versions 1.3.x antérieures à 1.3.17 |
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Roundcube Webmail LTS versions 1.4.x ant\u00e9rieures \u00e0 1.4.12",
"product": {
"name": "Roundcube Webmail",
"vendor": {
"name": "Roundcube",
"scada": false
}
}
},
{
"description": "Roundcube Webmail LTS versions 1.3.x ant\u00e9rieures \u00e0 1.3.17",
"product": {
"name": "Roundcube Webmail",
"vendor": {
"name": "Roundcube",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2021-44026",
"url": "https://www.cve.org/CVERecord?id=CVE-2021-44026"
},
{
"name": "CVE-2021-44025",
"url": "https://www.cve.org/CVERecord?id=CVE-2021-44025"
}
],
"initial_release_date": "2021-11-23T00:00:00",
"last_revision_date": "2021-11-23T00:00:00",
"links": [],
"reference": "CERTFR-2021-AVI-898",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2021-11-23T00:00:00.000000"
}
],
"risks": [
{
"description": "Injection de code indirecte \u00e0 distance (XSS)"
},
{
"description": "Atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es"
},
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans Roundcube Webmail.\nElles permettent \u00e0 un attaquant de provoquer une atteinte \u00e0 l\u0027int\u00e9grit\u00e9\ndes donn\u00e9es, une atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es et une\ninjection de code indirecte \u00e0 distance (XSS).\n",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans Roundcube Webmail",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Roundcube du 12 novembre 2021",
"url": "https://roundcube.net/news/2021/11/12/security-updates-1.4.12-and-1.3.17-released"
}
]
}