Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Roundcube Webmail versions 1.6.x antérieures à 1.6.11
- Roundcube Webmail versions antérieures à 1.5.10
Résumé
[Mise à jour du 06 juin 2025] Une preuve de concept est publiquement disponible.
[Publication initiale] Le 01 juin 2025, Roundcube a publié des correctifs concernant une vulnérabilité critique affectant son portail de messagerie ainsi que tous les produits l'incluant (par exemple cPanel et Plesk).
Cette vulnérabilité permet à un utilisateur authentifié d'exécuter du code arbitraire à distance.
L'éditeur ne mentionne pas d'identifiant CVE.
Des détails techniques sur cette vulnérabilité ont été publiés avec l'identifiant CVE-2025-49113. Le CERT-FR anticipe la disponibilité imminente de codes d'exploitation et recommande fortement de mettre à jour dans les plus brefs délais au vu du nombre important de produits exposés.
Solutions
Les versions correctives 1.5.10 et 1.6.11 ont été publiées par l'éditeur.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Roundcube security-updates-1.6.11-and-1.5.10 du 01 juin 2025 https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10
- Avis CERT-FR CERTFR-2025-AVI-0468 du 02 juin 2025 https://cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0468/
- Référence CVE CVE-2025-49113 https://www.cve.org/CVERecord?id=CVE-2025-49113
