Skip to content
hacker_posts

Roundcube 1.6.16 et 1.7.1 corrigent une injection SQL pré-auth (CERTFR-2026-AVI-0644)

Le CERT-FR relaie l'avis Roundcube du 24 mai : SQLi pré-auth dans virtuser_query, suppression de fichiers par poisoning Redis/Memcache, injection de code LDAP. Mettez à jour 1.6.16 / 1.7.1.

Publié le 4 min de lecture
cveroundcubewebmailalertecert-fr

Le CERT-FR a publié le 26 mai 2026 l'avis CERTFR-2026-AVI-0644, qui répercute la sortie en urgence des versions Roundcube 1.6.16 (branche LTS) et 1.7.1 (branche stable) le 24 mai. Le bulletin amont est disponible sur roundcube.net et liste huit correctifs distincts, dont plusieurs pré-authentification. Aucun CVE n'est encore attribué dans l'avis CERT-FR ni dans le journal de la circl.

Roundcube est massivement déployé en France via les offres mutualisées d'hébergement et les panneaux d'administration tiers (cPanel, Plesk, ISPConfig en tête). Sur ce périmètre, une faille pré-authentification qui touche le webmail transforme chaque instance exposée en point d'entrée trivial.

Vulnérabilités corrigées

D'après l'annonce officielle Roundcube, le bloc de fixes inclut :

  • Injection SQL pré-authentification dans le plugin virtuser_query, via un contournement d'échappement preg_replace exploitant un backslash terminal. Aucune authentification requise.
  • Suppression arbitraire de fichiers pré-authentification via empoisonnement de session côté Redis/Memcache. Là encore, pas besoin de compte valide.
  • Injection de code dans l'option LDAP autovalues — la fonctionnalité d'évaluation de code dans les autovaleurs LDAP est retirée, pas seulement corrigée.
  • XSS stocké / injection HTML & CSS dans le champ « sujet » de la fenêtre de restauration de brouillon.
  • Contournement du sanitizer HTML par injection CSS via <animate attributeName="style"> en SVG.
  • Contournement SSRF par URLs locales/privées spécifiques.
  • Contournement du blocage des images distantes via var() en CSS.

L'éventail va donc du « petit » XSS à des primitives RCE indirectes (SQLi pré-auth → exfiltration de hash et de tokens de session ; LDAP autovalues → exécution de code côté serveur si la configuration LDAP est activée).

Périmètres concernés

  • Roundcube 1.6.x antérieures à 1.6.16.
  • Roundcube 1.7.x antérieures à 1.7.1.

La livraison du 24 mai ne couvre pas la branche 1.5.x, qui avait reçu une dernière mise à jour 1.5.15 le 29 mars 2026 — les opérateurs encore sur cette branche doivent migrer vers 1.6.16. Les distributions Linux qui packagent Roundcube (Debian, Ubuntu, EPEL, FreeBSD ports) suivent à des cadences variables ; vérifiez le numéro de version réellement servi par votre paquet plutôt que la version « affichée » par votre panneau d'hébergement.

Statut de l'exploitation

Ni l'avis CERT-FR ni l'annonce Roundcube ne signalent d'exploitation active à la date de publication. Roundcube reste cependant une cible récurrente : CVE-2025-49113 — une RCE par désérialisation PHP — a été ajoutée au catalogue CISA KEV en février 2026 après plusieurs mois d'exploitation in-the-wild documentée. La pré-auth SQLi de cette livraison est exactement le type de bug qu'un opérateur opportuniste industrialise dès qu'un PoC public émerge.

Aucun PoC public n'a été observé pour les vulnérabilités du 24 mai au moment de la publication. La fenêtre de patch tranquille se referme néanmoins très vite sur ce produit.

Que faire

  1. Inventoriez chaque instance Roundcube exposée à Internet ou accessible depuis un VPN. Sur du mutualisé, l'instance vit dans le périmètre de l'hébergeur — vérifiez explicitement quelle version est servie : Roundcube Webmail X.Y.Z apparaît en bas de la page de connexion.
  2. Mettez à jour vers 1.6.16 sur la branche LTS ou 1.7.1 sur la branche stable. Les paquets distribution arrivent en retard ; si vous ne pouvez pas attendre, déployez l'archive officielle Roundcube par-dessus.
  3. Bloquez l'accès au plugin virtuser_query s'il n'est pas indispensable à votre déploiement — désactivez-le dans config/config.inc.php ($config['plugins']) avant le patch si vous ne pouvez pas mettre à jour immédiatement.
  4. Auditez les sessions actives sur les serveurs Redis/Memcache partagés. Une session forgée par poisoning ne se distingue d'une session légitime que par l'incohérence des métadonnées — extrayez les clés session:* et confrontez-les aux logs d'authentification de votre IdP.
  5. Reconfigurez LDAP autovalues. Même après le patch, si vous utilisiez l'évaluation de code dans cette option, elle est désactivée. Revérifiez vos formulaires de contacts auto-remplis.

Contexte

C'est le deuxième correctif de sécurité majeur sur Roundcube en deux mois : la livraison du 29 mars 2026 (1.6.15 / 1.7-rc6 / 1.5.15) avait déjà colmaté une série de vulnérabilités. En toile de fond, CERTFR-2025-ALE-008 — l'alerte qui suit CVE-2025-49113 — reste ouverte côté CERT-FR, et la CISA a fixé l'échéance KEV correspondante au 13 mars 2026 pour les agences fédérales américaines. Le rythme est consistant : Roundcube est l'un des très rares webmails open source à voir un usage à très grande échelle, et la surface (PHP, plugins, sanitizer HTML, parsing MIME) reste structurellement coûteuse à défendre.

Si vous opérez Roundcube en mutualisé, demandez à votre hébergeur une confirmation écrite de l'application du patch — c'est la question que les RSSI poseront, dès que le premier PoC pré-auth circulera.

Articles liés