CERTFR-2025-ALE-008_Vulnérabilité dans Roundcube
Publié le 5 juin 2025 à 15h02
Objet
Vulnérabilité dans Roundcube
Référence
CERTFR-2025-ALE-008
Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Roundcube Webmail versions 1.6.x antérieures à 1.6.11
- Roundcube Webmail versions antérieures à 1.5.10
Résumé
Le 01 juin 2025, Roundcube a publié des correctifs concernant une vulnérabilité critique affectant son portail de messagerie ainsi que tous les produits l'incluant (par exemple cPanel et Plesk).
Cette vulnérabilité permet à un utilisateur authentifié d'exécuter du code arbitraire à distance.
L'éditeur ne mentionne pas d'identifiant CVE.
Des détails techniques sur cette vulnérabilité ont été publiés avec l'identifiant CVE-2025-49113. Le CERT-FR anticipe la disponibilité imminente de codes d'exploitation et recommande fortement de mettre à jour dans les plus brefs délais au vu du nombre important de produits exposés.
Solutions
Les versions correctives 1.5.10 et 1.6.11 ont été publiées par l'éditeur.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Roundcube security-updates-1.6.11-and-1.5.10 du 01 juin 2025
- Avis CERT-FR CERTFR-2025-AVI-0468 du 02 juin 2025
- CVE-2025-49113