Vulnérabilité dans Roundcube (05 juin 2025)
Publié le 5 juin 2025 00:00
Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Roundcube Webmail versions 1.6.x antérieures à 1.6.11
- Roundcube Webmail versions antérieures à 1.5.10
Résumé
Le 01 juin 2025, Roundcube a publié des correctifs concernant une vulnérabilité critique affectant son portail de messagerie ainsi que tous les produits l'incluant (par exemple cPanel et Plesk).
Cette vulnérabilité permet à un utilisateur authentifié d'exécuter du code arbitraire à distance.
L'éditeur ne mentionne pas d'identifiant CVE.
Des détails techniques sur cette vulnérabilité ont été publiés avec l'identifiant CVE-2025-49113. Le CERT-FR anticipe la disponibilité imminente de codes d'exploitation et recommande fortement de mettre à jour dans les plus brefs délais au vu du nombre important de produits exposés.
Solutions
Les versions correctives 1.5.10 et 1.6.11 ont été publiées par l'éditeur.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation