Разработчики Roundcube выпустили обновления безопасности, закрывающие несколько уязвимостей в почтовом клиенте. Согласно бюллетеню от 5 июля, исправлены версии 1.6.17 и 1.7.2, которые рекомендованы к внедрению всем пользователям. В уязвимостях, обнаруженных внешними исследователями, присутствуют риски удалённого выполнения кода (XSS), подделки запросов на стороне сервера (SSRF) и отказа в обслуживании (DoS). Также в списке значатся проблемы с обходом политик безопасности.
Детали уязвимостей
Одна из наиболее опасных уязвимостей, получившая идентификатор CVE-2026-54432, относится к хранимой XSS через некорректное экранирование MIME-типа вложения. При отправке специально оформленного письма злоумышленник мог бы внедрить вредоносный JavaScript-код в страницу предупреждения об ошибках валидации вложения. При последующем просмотре администратором или пользователем этой страницы код мог выполниться в его браузере. Это открывает путь к краже сессионных cookie, перенаправлению на фишинговые страницы или выполнению действий от имени жертвы прямо в почтовом веб-интерфейсе.
Ещё одна критическая уязвимость, CVE-2026-54433, описана как zero-click (нулевой клик) хранимая XSS в режиме отображения простого текста. Для её эксплуатации не требовалось никаких действий от пользователя, кроме открытия письма. Исследователь из исследовательского центра Samsung R&D Institute Ukraine (SRUKR) сообщил, что атакующий мог внедрить скрипт через небезопасную обработку текста, и он выполнялся автоматически в момент рендеринга сообщения. Потенциально это позволяло получить полный контроль над интерфейсом клиента без какого-либо взаимодействия с получателем.
Помимо XSS, исправлены две новые техники обхода SSRF. Уязвимости данного класса позволяют атакующему заставить сервер Roundcube выполнить запросы к внутренним ресурсам сети, например, к метаданным облачного провайдера или локальным admin-интерфейсам. В обновлении 1.6.17 и 1.7.2 добавлены дополнительные фильтры для специальных локальных адресов, что должно предотвратить утечку данных из внутренней инфраструктуры.
Также в релиз вошли исправления, связанные с обработкой вложений в формате TNEF (winmail.dat). Исследователь stafra сообщил о бесконечном цикле в декодере, который мог приводить к отказу в обслуживании. Отдельно усилена защита плагина смены пароля: устранены уязвимости, позволявшие использовать имя пользователя, внедрённое в сессию. Исследователи Glendaenri и peppersghost обнаружили, что злоумышленник мог бы модифицировать параметр сессии, чтобы выполнить атаки на плагин.
Ещё один DoS-вектор, сообщённый h0rk1p, связан с некорректным парсингом сжатых RTF-данных внутри TNEF. Отправка специально сформированного письма могла привести к полной остановке почтового сервера. Все перечисленные ошибки устранены в актуальных версиях.
Обновление затронуло все главные ветки: 1.6.x и 1.7.x. Пользователям версий 1.6.16 и ниже, а также 1.7.1 и ниже настоятельно рекомендуется выполнить обновление до версий 1.6.17 и 1.7.2 соответственно. Разработчики также добавили в примечания к релизу ссылки на бюллетень и страницы записей CVE.
Учитывая, что Roundcube - популярное решение для веб-почты, эксплуатируемое на тысячах корпоративных и хостинговых площадок, выпущенные исправления особенно важны для систем, где безопасность почтовой корреспонденции имеет значение. Хранимая XSS может стать триггером для последующих атак на других пользователей почтовой системы, включая администраторов. SSRF же способна раскрыть конфиденциальные сведения о внутренней топологии сети, что в перспективе упрощает атаки на смежные сервисы.
Временных мер защиты разработчики не предложили, поэтому единственным надёжным способом остаётся переход на актуальные патчи. Загрузить обновления можно со страницы релизов проекта. Системным администраторам рекомендуется проверить версии установленного Roundcube и при необходимости запланировать установку патчей в кратчайшие сроки.
Ссылки