Alert GCSA-26102 - Vulnerabilita' in Roundcube Webmail
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
******************************************************************
alert ID: GCSA-26102
data: 31 maggio 2026
titolo: Vulnerabilita' in Roundcube Webmail
******************************************************************
:: Descrizione del problema
Sono state rilasciate nuove versioni del prodotto Roundcube Webmail,
per risolvere 8 vulnerabilita', delle quali 4 di gravita' "alta".
Maggiori informazioni sono disponibili alla sezione "Riferimenti".
:: Software / Dispositivi interessati
Roundcube Webmail versioni precedenti alla 1.6.16
Roundcube Webmail versioni precedenti alla 1.7.1
:: Impatto
Attacco all'integrita' dei dati (Data Manipulation)
Attacco alla confidenzialita' dei dati (ID)
Bypass delle funzionalita' di sicurezza (SFB)
Esecuzione remota di codice arbitrario (RCE)
Server-side Request Forgery (SSRF)
SQL Injection (SQLi)
:: Soluzioni
Aggiornare il prodotto alle ultime versioni
https://github.com/roundcube/roundcubemail/releases/tag/1.6.16
https://github.com/roundcube/roundcubemail/releases/tag/1.7.1
Se non e' possibile aggiornare, si consiglia di limitare l'accesso all'interfaccia webmail,
disattivare l'upload dei file, aggiungere la protezione agli attacchi CSRF,
bloccare le funzioni PHP rischiose e monitorare gli indicatori di exploit.
:: Riferimenti
Security updates 1.6.16 and 1.7.1 released
https://roundcube.net/news/2026/05/24/security-updates-1.6.16-and-1.7.1
Debian security advisory
https://lists.debian.org/debian-security-announce/2026/msg00212.html
https://lists.debian.org/debian-lts-announce/2026/05/msg00048.html
https://security-tracker.debian.org/tracker/DSA-6301-1
Riferimenti CVE
https://www.cve.org/CVERecord?id=CVE-2026-48842
https://www.cve.org/CVERecord?id=CVE-2026-48843
https://www.cve.org/CVERecord?id=CVE-2026-48844
https://www.cve.org/CVERecord?id=CVE-2026-48845
https://www.cve.org/CVERecord?id=CVE-2026-48846
https://www.cve.org/CVERecord?id=CVE-2026-48847
https://www.cve.org/CVERecord?id=CVE-2026-48848
https://www.cve.org/CVERecord?id=CVE-2026-48849
GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EAREIAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCahw1LAAKCRDBnEyTZRJg
QiobAKC92fJiJdy10DiNsVjNFiww+RPzxQCfdMFiR3InS+deot266Sxwg7QklaA=
=QiVF
-----END PGP SIGNATURE-----
Hash: SHA256
******************************************************************
alert ID: GCSA-26102
data: 31 maggio 2026
titolo: Vulnerabilita' in Roundcube Webmail
******************************************************************
:: Descrizione del problema
Sono state rilasciate nuove versioni del prodotto Roundcube Webmail,
per risolvere 8 vulnerabilita', delle quali 4 di gravita' "alta".
Maggiori informazioni sono disponibili alla sezione "Riferimenti".
:: Software / Dispositivi interessati
Roundcube Webmail versioni precedenti alla 1.6.16
Roundcube Webmail versioni precedenti alla 1.7.1
:: Impatto
Attacco all'integrita' dei dati (Data Manipulation)
Attacco alla confidenzialita' dei dati (ID)
Bypass delle funzionalita' di sicurezza (SFB)
Esecuzione remota di codice arbitrario (RCE)
Server-side Request Forgery (SSRF)
SQL Injection (SQLi)
:: Soluzioni
Aggiornare il prodotto alle ultime versioni
https://github.com/roundcube/roundcubemail/releases/tag/1.6.16
https://github.com/roundcube/roundcubemail/releases/tag/1.7.1
Se non e' possibile aggiornare, si consiglia di limitare l'accesso all'interfaccia webmail,
disattivare l'upload dei file, aggiungere la protezione agli attacchi CSRF,
bloccare le funzioni PHP rischiose e monitorare gli indicatori di exploit.
:: Riferimenti
Security updates 1.6.16 and 1.7.1 released
https://roundcube.net/news/2026/05/24/security-updates-1.6.16-and-1.7.1
Debian security advisory
https://lists.debian.org/debian-security-announce/2026/msg00212.html
https://lists.debian.org/debian-lts-announce/2026/05/msg00048.html
https://security-tracker.debian.org/tracker/DSA-6301-1
Riferimenti CVE
https://www.cve.org/CVERecord?id=CVE-2026-48842
https://www.cve.org/CVERecord?id=CVE-2026-48843
https://www.cve.org/CVERecord?id=CVE-2026-48844
https://www.cve.org/CVERecord?id=CVE-2026-48845
https://www.cve.org/CVERecord?id=CVE-2026-48846
https://www.cve.org/CVERecord?id=CVE-2026-48847
https://www.cve.org/CVERecord?id=CVE-2026-48848
https://www.cve.org/CVERecord?id=CVE-2026-48849
GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EAREIAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCahw1LAAKCRDBnEyTZRJg
QiobAKC92fJiJdy10DiNsVjNFiww+RPzxQCfdMFiR3InS+deot266Sxwg7QklaA=
=QiVF
-----END PGP SIGNATURE-----