Roundcube 1.6.17 / 1.7.2 corrigent un XSS zero-click en texte brut (CERTFR-2026-AVI-0835)
Le CERT-FR répercute la sortie de Roundcube 1.6.17 et 1.7.2 : XSS stocké zero-click en texte brut (CVE-2026-54433) et XSS via type MIME (CVE-2026-54432). Mettez à jour.
Le CERT-FR a publié le 6 juillet 2026 l'avis CERTFR-2026-AVI-0835, qui répercute la sortie en amont des versions Roundcube 1.6.17 (LTS) et 1.7.2 (branche stable) le 5 juillet 2026. L'annonce officielle est publiée sur roundcube.net ; les paquets sont taggés 1.6.17 et 1.7.2 dans le dépôt GitHub roundcubemail. Deux CVE sont attribués — CVE-2026-54432 et CVE-2026-54433 — et l'un des deux est un XSS stocké déclenché sans clic, à l'ouverture d'un message texte brut.
Roundcube reste très largement déployé côté France sur les offres mutualisées (cPanel, Plesk, ISPConfig) et sur les portails de messagerie internes. Une XSS zero-click dans le rendu texte brut concerne, en pratique, toute instance qui reçoit du courrier arbitraire.
Vulnérabilités corrigées
D'après l'annonce Roundcube et l'avis CERT-FR :
- CVE-2026-54433 — XSS stocké zero-click dans le rendu texte brut. Rapportée par Bohdan Kurinnoy (Samsung R&D Institute Ukraine — SRUKR). Aucun clic, aucune interaction : ouvrir le message dans la fenêtre de lecture suffit à exécuter la charge dans le contexte du webmail.
- CVE-2026-54432 — XSS stocké via un type MIME de pièce jointe non échappé sur la page d'avertissement de validation d'attachement. Également rapportée par Bohdan Kurinnoy.
- Contournement SSRF — deux nouveaux cas d'URL locales/privées non filtrées, patchés dans 1.6.17. Rapportés par Leenear. Pas de CVE distinct dans l'annonce amont ; le correctif prolonge la remédiation SSRF de la livraison précédente (1.6.16 / 1.7.1).
L'éventail va donc du vol de session côté webmail (via l'XSS zero-click chaînée à une exfiltration de cookie ou de token CSRF) au pivot serveur depuis la métadonnée cloud si le SSRF est atteignable depuis l'instance.
Périmètres concernés
- Roundcube 1.6.x antérieures à 1.6.17.
- Roundcube 1.7.x antérieures à 1.7.2.
La branche 1.5.x n'est pas visée par cette livraison — elle avait reçu sa dernière mise à jour (1.5.15) en mars 2026 et reste sur le chemin de dépréciation. Les opérateurs encore sur 1.5.x doivent migrer vers 1.6.17.
Les distributions Linux packagent Roundcube à des cadences variables (Debian, Ubuntu, EPEL, FreeBSD ports). Vérifiez la version réellement servie — elle apparaît en bas de la page de connexion — plutôt que celle affichée par votre panneau d'hébergement.
Statut de l'exploitation
Ni l'avis CERT-FR ni l'annonce Roundcube ne mentionnent d'exploitation active à la date de publication. Aucun PoC public n'a été observé pour CVE-2026-54432 ou CVE-2026-54433 au moment de la sortie de l'avis.
La rétention historique n'est cependant pas rassurante : la RCE PHP de désérialisation CVE-2025-49113 sur Roundcube a été ajoutée au catalogue CISA KEV début 2026 après plusieurs mois d'exploitation observée. Un XSS zero-click sur webmail est le type de primitive qui s'industrialise vite — il suffit d'envoyer un e-mail — et qui se combine directement à du phishing ciblé.
Que faire
- Inventoriez chaque instance Roundcube accessible via Internet ou VPN. Sur mutualisé, l'instance vit dans le périmètre de l'hébergeur : confirmez explicitement la version servie.
- Mettez à jour vers 1.6.17 (LTS) ou 1.7.2 (branche stable) — même journée si vous exposez le webmail à Internet, même semaine sinon. Les paquets distribution arrivent en retard ; si vous ne pouvez pas attendre, déployez l'archive officielle Roundcube par-dessus l'installation existante.
- Renforcez la CSP sur le domaine du webmail si ce n'est pas déjà fait. Une XSS zero-click perd la moitié de son intérêt si
default-src 'self'; script-src 'self'bloque l'exfiltration vers un domaine tiers. - Rotez les sessions actives sur les instances patchées : forcez une reconnexion, invalidez les cookies persistants, révoquez les jetons d'application (
app_password_pluginle cas échéant). - Auditez la surface SSRF de l'instance : vérifiez que Roundcube n'a pas de route réseau vers les métadonnées cloud (
169.254.169.254,metadata.google.internal) ni vers vos plans d'administration internes. Le patch SSRF de 1.6.17 ferme deux cas ; il en existera d'autres.
Contexte
C'est le troisième cycle de correctifs de sécurité majeur sur Roundcube en un semestre. Le 24 mai 2026, la livraison 1.6.16 / 1.7.1 avait déjà colmaté une SQLi pré-authentification et une suppression arbitraire de fichiers — notre couverture reste pertinente sur le contexte plus large. La cadence est régulière : Roundcube est l'un des rares webmails open source à voir un usage à cette échelle, et la surface (PHP, plugins, sanitizer HTML, parsing MIME, rendu texte brut) reste structurellement coûteuse à défendre.
Le CERT-FR suit encore CERTFR-2025-ALE-008 — l'alerte qui accompagne CVE-2025-49113 — comme active. Un défenseur qui exploite Roundcube en production a désormais deux CVE d'XSS stockée à traiter par an, en plus des cycles de désérialisation PHP. Si vous opérez le service en mutualisé, demandez à votre hébergeur une confirmation écrite de l'application des correctifs 1.6.17 / 1.7.2 — c'est la question que la DSI posera dès qu'un PoC public d'XSS zero-click circulera.