Разработчики популярного веб-интерфейса для электронной почты Roundcube выпустили срочные патчи для двух веток продукта. Версии 1.6.16 и 1.7.1 устраняют целый ряд опасных уязвимостей. Некоторые из них позволяют злоумышленнику выполнить произвольный код на сервере, украсть данные или обойти политики безопасности. Инцидент затронул все установки Roundcube 1.6.x до обновления 1.6.16 и версии 1.7.x до патча 1.7.1. Специалистам по информационной безопасности настоятельно рекомендуют как можно быстрее установить исправления.
Детали уязвимостей
Согласно официальному бюллетеню, опубликованному 24 мая 2026 года, исследователи обнаружили сразу несколько серьёзных дефектов. В списке значатся межсайтовый скриптинг (XSS - класс атак, при которых вредоносный код внедряется в веб-страницу и выполняется в браузере жертвы), SQL-инъекции (метод внедрения произвольных запросов в базу данных), подделка запросов на стороне сервера (SSRF - техника, позволяющая атакующему отправлять запросы от имени сервера к внутренним ресурсам), а также возможность удалённого выполнения кода. Особую тревогу вызывает уязвимость, связанная с обходом авторизации в плагине virtuser_query. Она позволяет злоумышленнику, не прошедшему аутентификацию, выполнить SQL-инъекцию через механизм экранирования символов в регулярных выражениях.
Другая критическая проблема затрагивает механизм хранения сессий Redis или Memcached. Используя отравление сессионных данных, атакующий может удалить произвольные файлы на сервере, даже не имея учётной записи. Это особенно опасно, если веб-почта развёрнута в общей инфраструктуре. Кроме того, исправлена уязвимость, позволявшая обходить блокировку удалённых изображений через CSS-функцию var(). Ранее злоумышленник мог внедрить в письмо стиль, который загружал внешний ресурс, минуя защиту.
Отдельного внимания заслуживает баг в диалоге восстановления черновика. Поле темы не фильтровалось должным образом, что открывало путь к сохранённой XSS-атаке. Вредоносный код мог сработать при просмотре черновика, что ставит под удар всех пользователей, использующих функцию автосохранения. Ещё один недостаток обнаружен в HTML-фильтре: SVG-элемент с анимацией атрибута style позволял обойти санитизацию и внедрить произвольные CSS-стили. Это давало возможность изменить внешний вид страницы и, например, подменить форму ввода пароля.
Специалисты также закрыли дыру, связанную с подделкой запросов на стороне сервера. Ранее можно было обойти ограничение на доступ только к внешним ресурсам, указав особый локальный адрес. Таким образом атакующий мог сканировать внутреннюю сеть организации. Дополнительно исправлена уязвимость в LDAP (протокол доступа к каталогам, часто используемый для аутентификации). Разработчики удалили поддержку выполнения кода в опции автозаполнения значений LDAP. Это решение предотвращает возможную инъекцию в скриптах.
Все перечисленные проблемы были обнаружены сторонними исследователями, среди которых значатся zazy, wooseokdotkim, skull и представители Orange Cyberdefense Vulnerability Disclosure Team. Разработчики поблагодарили их за ответственное раскрытие информации. Для каждой уязвимости уже выпущены патчи. Обновления доступны на GitHub в виде архивов с полным списком изменений.
Стоит отметить, что Roundcube остаётся одним из самых распространённых веб-клиентов для почтовых серверов. Его используют как небольшие компании, так и крупные хостинг-провайдеры. Поэтому любые новости об уязвимостях в этом продукте мгновенно привлекают внимание специалистов. Данный инцидент показывает, насколько важно своевременно обновлять даже, казалось бы, небольшие компоненты инфраструктуры. Одна неисправленная SQL-инъекция может привести к утечке всей базы пользователей.
Хотя детали эксплуатации пока не раскрыты полностью, очевидно, что некоторые уязвимости можно было использовать без аутентификации. Это делает атаку особенно опасной. Злоумышленнику достаточно отправить специально сформированное письмо или перехватить запрос к серверу. В случае успешной эксплуатации он может не только украсть данные, но и получить полный контроль над сервером. Например, через выполнение произвольного кода можно установить веб-шелл и закрепиться в системе.
Эксперты по кибербезопасности рекомендуют администраторам не откладывать обновление. Процесс установки патча занимает несколько минут, но позволяет предотвратить потенциально катастрофические последствия. Если по каким-то причинам немедленное обновление невозможно, стоит временно отключить уязвимые функции. Например, отключить плагин virtuser_query или ограничить доступ к веб-интерфейсу через файрвол. Однако эти меры не заменяют полноценного патча.
В целом данная история напоминает о том, что даже зрелые проекты с многолетней историей могут содержать серьёзные ошибки. Регулярные аудиты кода и сотрудничество с сообществом исследователей помогают выявлять уязвимости до того, как ими воспользуются злоумышленники. Разработчики Roundcube оперативно выпустили исправления в течение нескольких дней после получения отчётов. Это хороший пример ответственного подхода к безопасности.
На данный момент информации об активной эксплуатации этих уязвимостей нет. Но специалисты по киберразведке продолжают мониторинг. Пользователям стоит обратить внимание на логи почтового сервера и веб-сервера на предмет подозрительных запросов. Особенно тех, что содержат попытки внедрения SQL-команд или нестандартные URL.
Рекомендуется обновить Roundcube до версии 1.6.16 или 1.7.1 в зависимости от используемой ветки. Версия 1.6 LTS будет получать поддержку ещё долгое время, так что миграция на 1.7 необязательна. Главное - установить патчи. Администраторам, использующим Docker-образы, стоит пересобрать контейнеры с новыми версиями. Все необходимые ссылки есть в официальном бюллетене безопасности. Своевременное обновление - лучшая защита от подобных угроз.
Ссылки
