Zespół CERT Polska informuje o poprawce bezpieczeństwa usuwającej wiele podatności w kliencie pocztowym Roundcube.
Wśród błędów usuniętych w aktualizacjach 1.6.16 oraz 1.7.1 znajdują się m.in. podatności typu Cross-site Scripting, SQL Injection, Server-Side Request Forgery oraz wstrzyknięcie kodu.
Zaznaczamy, że w przeszłości podobne podatności w Roundcube były wykorzystywane do przejmowania skrzynek pocztowych i wykradania historii korespondencji: https://cert.pl/posts/2025/06/unc1151-kampania-roundcube/
W przypadku korzystania z podatnych wersji Roundcube rekomendujemy jak najszybsze zainstalowanie najnowszych poprawek.
Więcej informacji mogą Państwo znaleźć na stronie producenta: https://roundcube.net/news/2026/05/24/security-updates-1.6.16-and-1.7.1