Plusieurs vulnérabilités ont été identifiées dans Roundcube, un logiciel de webmail open source largement déployé. Selon un avis du CERT-FR publié le 26 mai 2026, ces failles exposent les systèmes à des risques graves, allant de l'exécution de code arbitraire à distance à la falsification de requêtes côté serveur (SSRF) ou à l'injection SQL (SQLi).
Versions concernées et correctifs disponibles
Sont affectées les versions de Roundcube Webmail 1.6.x antérieures à la version 1.6.16, ainsi que les versions 1.7.x antérieures à la version 1.7.1. L'éditeur a diffusé des correctifs le 24 mai 2026 dans le cadre de ses mises à jour de sécurité (security-updates-1.6.16-and-1.7.1). Le CERT-FR invite les administrateurs à se référer sans délai au bulletin de sécurité de l'éditeur pour appliquer les mises à jour.
Nature des risques
Les vulnérabilités identifiées permettent potentiellement à un attaquant de porter atteinte à la confidentialité et à l'intégrité des données, de contourner la politique de sécurité, d'exécuter du code arbitraire à distance, de procéder à des falsifications de requêtes côté serveur (SSRF) et de réaliser des injections SQL. Le niveau de criticité est jugé élevé, justifiant une intervention rapide des équipes techniques.
Recommandations
Le CERT-FR conseille aux organisations utilisant Roundcube de mettre à jour leurs installations vers les versions 1.6.16 ou 1.7.1, selon la branche déployée. Aucune solution de contournement n'a été communiquée par l'éditeur à ce stade, rendant l'application des correctifs la seule mesure de protection efficace.
