Roundcube
Уязвимости
77
Эксплуатируемые
11
Макс. CVSS
10
Макс. EPSS
0.89163
Распределение по критичности
Критический
7
Высокий
17
Средний
46
Низкий
4
Также сопоставлено как (исходные строки): roundcube
Топ уязвимостей
CVE-2008-5619html2text.php в Chuggnutt HTML to Text Converter, используемый в PHPMailer до 5.2.10, RoundCube Webmail (roundcubemail) 0.2-1.alpha и 0.2-3.beta, Mahara и AtMail Open 1.03, позволяет удаленным злоумышленникам выполнять произвольный код через специально созданный ввод, который обрабатывается функцией preg_replace с переключателем eval.
CVE-2024-37385Roundcube Webmail до 1.5.7 и 1.6.x до 1.6.7 на Windows позволяет инъекцию команд через im_convert_path и im_identify_path. ПРИМЕЧАНИЕ: эта проблема существует из-за неполного исправления для CVE-2020-12641.
CVE-2021-44026Roundcube версий до 1.3.17 и 1.4.x до 1.4.12 подвержен потенциальной SQL-инъекции через поиск или search_params.
CVE-2020-12641rcube_image.php в Roundcube Webmail до версии 1.4.4 позволяет злоумышленникам выполнять произвольный код через метасимволы оболочки в настройках конфигурации для im_convert_path или im_identify_path.
CVE-2020-12640Roundcube Webmail до версии 1.4.4 позволяет злоумышленникам включать локальные файлы и выполнять код через обход каталогов в имени плагина в rcube_plugin_api.php.
CVE-2024-42009Уязвимость межсайтового скриптинга в Roundcube до версии 1.5.7 и 1.6.x до версии 1.6.7 позволяет удаленному злоумышленнику красть и отправлять электронные письма жертвы через специально созданное сообщение электронной почты, которое злоупотребляет проблемой дезинфекции в message_body() в program/actions/mail/show.php.
CVE-2024-42008Уязвимость межсайтового скриптинга в rcmail_action_mail_get->run() в Roundcube до версии 1.5.7 и 1.6.x до версии 1.6.7 позволяет удаленному злоумышленнику красть и отправлять электронные письма жертвы через вредоносное вложение электронной почты, предоставленное с опасным заголовком Content-Type.
CVE-2025-49113Roundcube Webmail версии 1.5.10 и 1.6.x до 1.6.11 позволяет выполнить удаленное выполнение кода аутентифицированными пользователями, поскольку параметр _from в URL-адресе не проверяется в program/actions/settings/upload.php, что приводит к десериализации объекта PHP [1]. Уязвимость была исправлена в версиях 1.6.11 и 1.5.10. Настоятельно рекомендуется обновить все производственные установки Roundcube 1.6.x и 1.5.x до этих версий [2].
Источники:
- [1] https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10
- [2] https://github.com/roundcube/roundcubemail/pull/9865
- [3] https://github.com/roundcube/roundcubemail/releases/tag/1.6.11
- [4] https://github.com/roundcube/roundcubemail/commit/0376f69e958a8fef7f6f09e352c541b4e7729c4d
- [5] https://github.com/roundcube/roundcubemail/releases/tag/1.5.10
CVE-2018-9846В Roundcube версий с 1.2.0 по 1.3.5, с включенным и настроенным плагином archive, можно использовать несанкционированный, контролируемый пользователем параметр "_uid" (в запросе archive.php _task=mail&_mbox=INBOX&_action=plugin.move2archive) для выполнения атаки MX (IMAP) путем размещения команды IMAP после последовательности %0d%0a. ПРИМЕЧАНИЕ: это менее легко использовать в версиях 1.3.4 и более поздних из-за механизма защиты Same Origin Policy.
CVE-2017-8114Roundcube Webmail позволяет произвольный сброс пароля аутентифицированными пользователями. Это затрагивает версии до 1.0.11, 1.1.x до 1.1.9 и 1.2.x до 1.2.5. Проблема вызвана неправильно ограниченным вызовом exec в драйверах virtualmin и sasl плагина password.
CVE-2016-4069Уязвимость межсайтовой подделки запросов (CSRF) в Roundcube Webmail до 1.1.5 позволяет удаленным злоумышленникам перехватывать аутентификацию пользователей для запросов, которые загружают вложения и вызывают отказ в обслуживании (потребление диска) через неуказанные векторы.
CVE-2015-2181Множественные переполнения буфера в драйвере DBMail в плагине Password в Roundcube до версии 1.1.0 позволяют удаленным злоумышленникам оказывать неопределенное воздействие через (1) пароль или (2) имя пользователя.
CVE-2015-2180Драйвер DBMail в плагине Password в Roundcube до версии 1.1.0 позволяет удаленным злоумышленникам выполнять произвольные команды через метасимволы оболочки в пароле.
CVE-2017-16651Roundcube Webmail до версий 1.1.10, 1.2.x до 1.2.7 и 1.3.x до 1.3.3 позволяет неавторизованный доступ к произвольным файлам в файловой системе хоста, включая файлы конфигурации, что было использовано в реальных условиях в ноябре 2017 года. Злоумышленник должен иметь возможность аутентифицироваться в целевой системе с действительным именем пользователя/паролем, так как атака требует активного сеанса. Проблема связана с плагинами вложений на основе файлов и запросами _task=settings&_action=upload-display&_from=timezone.
CVE-2008-5620RoundCube Webmail (roundcubemail) до 0.2-beta позволяет удаленным злоумышленникам вызывать отказ в обслуживании (потребление памяти) через специально созданные параметры размера, которые используются для создания большого изображения квоты.
CVE-2025-68460Круглосуточной веб-почты до 1.5.12 и 1.6 до 1.6.12 подвержена уязвимости раскрытия информации в дезинфицирующее средство для HTML-стиля.
CVE-2024-42010mod_css_styles в Roundcube через 1.5.7 и 1.6.x до 1.6.7 недостаточно фильтрует последовательности токенов Cascading Style Sheets (CSS) в отображаемых сообщениях электронной почты, что позволяет удаленному злоумышленнику получать конфиденциальную информацию.
CVE-2018-19205Roundcube до версии 1.3.7 неправильно обрабатывает предупреждения о защите целостности GnuPG MDC, что облегчает злоумышленникам получение конфиденциальной информации, проблема, связанная с CVE-2017-17688. Это связано с plugins/enigma/lib/enigma_driver_gnupg.php.
CVE-2018-1000071roundcube версии 1.3.4 и более ранних содержит уязвимость небезопасных разрешений в плагине enigma, которая может привести к эксфильтрации закрытого ключа gpg. Эта атака, по-видимому, может быть использована через сетевое подключение.
CVE-2016-9920steps/mail/sendmail.inc в Roundcube до версий 1.1.7 и 1.2.x до 1.2.3, когда не настроен SMTP-сервер и включена программа sendmail, неправильно ограничивает использование пользовательских адресов envelope-from в командной строке sendmail, что позволяет удаленным аутентифицированным пользователям выполнять произвольный код через измененный HTTP-запрос, отправляющий специально созданное электронное сообщение.
CVE-2015-8770Уязвимость обхода каталогов в функции set_skin в program/include/rcmail_output_html.php в Roundcube до 1.0.8 и 1.1.x до 1.1.4 позволяет удаленным аутентифицированным пользователям с определенными разрешениями читать произвольные файлы или, возможно, выполнять произвольный код через .. (две точки) в параметре _skin для index.php.
CVE-2015-5383Roundcube Webmail 1.1.x до 1.1.2 позволяет удаленным злоумышленникам получать конфиденциальную информацию путем чтения файлов в каталогах (1) config, (2) temp или (3) logs.
CVE-2013-6172steps/utils/save_pref.inc в Roundcube webmail до 0.8.7 и 0.9.x до 0.9.5 позволяет удаленным злоумышленникам изменять параметры конфигурации через параметр _session, который можно использовать для чтения произвольных файлов, проведения SQL-инъекций и выполнения произвольного кода.
CVE-2019-15237Roundcube Webmail до версии 1.3.9 неправильно обрабатывает доменные имена Punycode xn--, что приводит к атакам с использованием омографов.
CVE-2014-9587Множественные уязвимости межсайтовой подделки запросов (CSRF) в Roundcube Webmail до версии 1.0.4 позволяют удаленным злоумышленникам перехватывать аутентификацию неуказанных жертв через неизвестные векторы, связанные с (1) операциями адресной книги или (2) плагинами ACL или (3) Managesieve.