Все бюллетени/p11/ALT-PU-2026-4909-9
ALT-PU-2026-4909-9

Обновление пакета roundcube в ветке p11

Версия1.6.14-alt1
Задание#412205
Опубликовано2026-05-07
Макс. серьёзностьHIGH
Серьёзность:

Закрытые проблемы (28)

BDU:2025-16316
HIGH7.2

Уязвимость модуля проверки стилей HTML почтового клиента RoundCube Webmail, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Опубликовано: 2025-12-24Изменено: 2026-04-16
CVSS 3.xВЫСОКАЯ 7.2
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
CVSS 2.0СРЕДНЯЯ 6.4
CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:N
Ссылки
BDU:2026-03414
HIGH7.2

Уязвимость почтового клиента RoundCube Webmail, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю проводить межсайтовые сценарные атаки (XSS)

Опубликовано: 2026-03-19Изменено: 2026-04-16
CVSS 3.xВЫСОКАЯ 7.2
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
CVSS 2.0СРЕДНЯЯ 6.4
CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:N
Ссылки
BDU:2026-06179
MEDIUM6.1

Уязвимость режима предварительного просмотра почтового клиента RoundCube Webmail, позволяющая нарушителю проводить межсайтовые сценарные атаки (XSS)

Опубликовано: 2026-05-04
CVSS 3.xСРЕДНЯЯ 6.1
CVSS:3.x/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
CVSS 2.0СРЕДНЯЯ 6.4
CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:N
Ссылки
BDU:2026-06180
MEDIUM6.5

Уязвимость почтового клиента RoundCube Webmail, связанная с отсутствием проверки корректности принимаемых запросов, позволяющая нарушителю раскрыть защищаемую информацию

Опубликовано: 2026-05-04
CVSS 3.xСРЕДНЯЯ 6.5
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
CVSS 2.0СРЕДНЯЯ 6.4
CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:N
Ссылки
BDU:2026-06181
HIGH7.5

Уязвимость почтового клиента RoundCube Webmail, связанная с недостатками механизма десериализации, позволяющая нарушителю записать произвольные файлы

Опубликовано: 2026-05-04
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
CVSS 2.0ВЫСОКАЯ 7.8
CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:C/A:N
Ссылки
BDU:2026-06182
LOW3.1

Уязвимость почтового клиента RoundCube Webmail, связанная с внедрением или модификацией аргументов, позволяющая нарушителю осуществить CSRF-атаку

Опубликовано: 2026-05-04
CVSS 3.xНИЗКАЯ 3.1
CVSS:3.x/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:N
CVSS 2.0НИЗКАЯ 2.1
CVSS:2.0/AV:N/AC:H/Au:S/C:N/I:P/A:N
Ссылки
BDU:2026-06303
MEDIUM4.2

Уязвимость сценария password.php плагина password почтового клиента RoundCube Webmail, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации

Опубликовано: 2026-05-05
CVSS 3.xСРЕДНЯЯ 4.2
CVSS:3.x/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N
CVSS 2.0НИЗКАЯ 3.6
CVSS:2.0/AV:N/AC:H/Au:S/C:P/I:P/A:N
Ссылки
BDU:2026-06304
MEDIUM5.3

Уязвимость функции удаленной блокировки изображений почтового клиента RoundCube Webmail, позволяющая нарушителю раскрыть защищаемую информацию

Опубликовано: 2026-05-05Изменено: 2026-05-06
CVSS 3.xСРЕДНЯЯ 5.3
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
CVSS 2.0СРЕДНЯЯ 5.0
CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:N
Ссылки
BDU:2026-06324
MEDIUM5.3

Уязвимость функции удаленной блокировки изображений почтового клиента RoundCube Webmail, позволяющая нарушителю раскрыть защищаемую информацию

Опубликовано: 2026-05-06
CVSS 3.xСРЕДНЯЯ 5.3
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
CVSS 2.0СРЕДНЯЯ 5.0
CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:N
Ссылки
BDU:2026-06326
MEDIUM5.3

Уязвимость почтового клиента RoundCube Webmail, связанная с отсутствием проверки корректности принимаемых запросов, позволяющая нарушителю обойти ограничения безопасности

Опубликовано: 2026-05-06
CVSS 3.xСРЕДНЯЯ 5.3
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
CVSS 2.0СРЕДНЯЯ 5.0
CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:P/A:N
Ссылки
CVE-2025-68461
MEDIUM6.1

Roundcube Webmail before 1.5.12 and 1.6 before 1.6.12 is prone to a Cross-Site-Scripting (XSS) vulnerability via the animate tag in an SVG document.

Опубликовано: 2025-12-18Изменено: 2026-02-23
CVSS 3.xСРЕДНЯЯ 6.1
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Ссылки
CVE-2026-35537
HIGH7.5

An issue was discovered in Roundcube Webmail before 1.5.14 and 1.6.14. Unsafe deserialization in the redis/memcache session handler may lead to arbitrary file write operations by unauthenticated attackers via crafted session data.

Опубликовано: 2026-04-03Изменено: 2026-04-13
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Ссылки
CVE-2026-35538
LOW3.1

An issue was discovered in Roundcube Webmail before 1.5.14 and 1.6.14. Unsanitized IMAP SEARCH command arguments could lead to IMAP injection or CSRF bypass during mail search.

Опубликовано: 2026-04-03Изменено: 2026-04-07
CVSS 3.xНИЗКАЯ 3.1
CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:N
Ссылки
CVE-2026-35539
MEDIUM6.1

An issue was discovered in Roundcube Webmail before 1.5.14 and 1.6.14. XSS exists because of insufficient HTML attachment sanitization in preview mode. A victim must preview a text/html attachment.

Опубликовано: 2026-04-03Изменено: 2026-04-07
CVSS 3.xСРЕДНЯЯ 6.1
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Ссылки
CVE-2026-35540
MEDIUM6.5

An issue was discovered in Roundcube Webmail 1.6.0 before 1.6.14. Insufficient Cascading Style Sheets (CSS) sanitization in HTML e-mail messages may lead to SSRF or Information Disclosure, e.g., if stylesheet links point to local network hosts.

Опубликовано: 2026-04-03Изменено: 2026-04-07
CVSS 3.xСРЕДНЯЯ 6.5
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
Ссылки
CVE-2026-35541
MEDIUM4.2

An issue was discovered in Roundcube Webmail before 1.5.14 and 1.6.14. Incorrect password comparison in the password plugin could lead to type confusion that allows a password change without knowing the old password.

Опубликовано: 2026-04-03Изменено: 2026-04-07
CVSS 3.xСРЕДНЯЯ 4.2
CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N
Ссылки
CVE-2026-35542
MEDIUM5.3

An issue was discovered in Roundcube Webmail before 1.5.14 and 1.6.14. The remote image blocking feature can be bypassed via a crafted background attribute of a BODY element in an e-mail message. This may lead to information disclosure or access-control bypass.

Опубликовано: 2026-04-03Изменено: 2026-04-07
CVSS 3.xСРЕДНЯЯ 5.3
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Ссылки
CVE-2026-35543
MEDIUM5.3

An issue was discovered in Roundcube Webmail before 1.5.14 and 1.6.14. The remote image blocking feature can be bypassed via SVG content (with animate attributes) in an e-mail message. This may lead to information disclosure or access-control bypass.

Опубликовано: 2026-04-03Изменено: 2026-04-07
CVSS 3.xСРЕДНЯЯ 5.3
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Ссылки
CVE-2026-35544
MEDIUM5.3

An issue was discovered in Roundcube Webmail before 1.5.14 and 1.6.14. Insufficient Cascading Style Sheets (CSS) sanitization in HTML e-mail messages may lead to a fixed-position mitigation bypass via the use of !important.

Опубликовано: 2026-04-03Изменено: 2026-04-09
CVSS 3.xСРЕДНЯЯ 5.3
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Ссылки
GHSA-46pv-mj2g-93gh
MEDIUM4.2

Roundcube Webmail: Incorrect password comparison in the password plugin

Опубликовано: 2026-04-03Изменено: 2026-04-04
CVSS 3.xСРЕДНЯЯ 4.2
CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N
Ссылки
GHSA-5hf6-crg4-fg59
MEDIUM5.3

Roundcube: Bypass of remote image blocking via crafted BODY background attribute

Опубликовано: 2026-04-03Изменено: 2026-04-04
CVSS 3.xСРЕДНЯЯ 5.3
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Ссылки
GHSA-8jr8-v43g-5c57
LOW3.1

Roundcube Webmail: Unsanitized IMAP SEARCH command arguments

Опубликовано: 2026-04-03Изменено: 2026-04-04
CVSS 3.xНИЗКАЯ 3.1
CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:N
Ссылки
GHSA-j2g6-8rvg-7mf6
MEDIUM5.3

Roundcube Webmail: Bypass of remote image blocking via SVG content (with animate attributes) in an e-mail message

Опубликовано: 2026-04-03Изменено: 2026-04-04
CVSS 3.xСРЕДНЯЯ 5.3
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Ссылки
GHSA-rxj3-rrwm-pj4r
LOW3.7

Roundcube Webmail: Unsafe deserialization in the redis/memcache session handler

Опубликовано: 2026-04-03Изменено: 2026-04-15
CVSS 3.xНИЗКАЯ 3.7
CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
Ссылки
GHSA-vxg2-hhgr-37fx
MEDIUM5.4

Roundcube Webmail: Insufficient CSS sanitization in HTML e-mail messages

Опубликовано: 2026-04-03Изменено: 2026-04-04
CVSS 3.xСРЕДНЯЯ 5.4
CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:N
Ссылки
GHSA-x4q5-8j5g-hpjc
MEDIUM6.1

Roundcube Webmail: Insufficient HTML attachment sanitization in preview mode

Опубликовано: 2026-04-03Изменено: 2026-04-04
CVSS 3.xСРЕДНЯЯ 6.1
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Ссылки
GHSA-xpqh-grpw-4xmg
MEDIUM5.3

Roundcube Webmail: Insufficient CSS sanitization in HTML e-mail messages

Опубликовано: 2026-04-03Изменено: 2026-04-04
CVSS 3.xСРЕДНЯЯ 5.3
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Ссылки