1.12 Aktiv ausgenutzte Lücken
Unified Communications / VoIP / Collab

Roundcube Webmail

Hersteller: Roundcube

Unified Communications / VoIP / Collab

Roundcube Webmail gehört zur Kategorie „Unified Communications / VoIP / Collab". xonatec überwacht Roundcube Webmail kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.

22
Reports
11
Aktiv ausgenutzt
Hoch
Höchste Priorität
93.3%
Max. EPSS

Schwachstellen-Reports

22 Reports

Zeige 1 bis 22 von 22

  1. Roundcube Webmail – Remote Code Execution

    CVE-2020-12641 Aktiv ausgenutzt

    In Roundcube Webmail wurde eine Schwachstelle zur Remote Code Execution identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 93.3 %.

    EPSS: 93.27% Publiziert: Referenz: CISA KEV
  2. RoundCube Webmail – Cross-Site Scripting (XSS)

    CVE-2024-42009 Aktiv ausgenutzt

    In RoundCube Webmail wurde eine Cross-Site Scripting (XSS)-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 91.2 %.

    EPSS: 91.16% Publiziert: Referenz: CISA KEV
  3. RoundCube Webmail – Deserialisierung nicht vertrauenswürdiger Daten

    CVE-2025-49113 Aktiv ausgenutzt

    In RoundCube Webmail wurde eine Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 90.5 %.

    EPSS: 90.47% Publiziert: Referenz: CISA KEV
  4. Roundcube Webmail – Persistentes Cross-Site Scripting (XSS)

    CVE-2023-5631 Aktiv ausgenutzt

    In Roundcube Webmail wurde eine persistente Cross-Site Scripting (XSS)-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 83.2 %.

    EPSS: 83.23% Publiziert: Referenz: CISA KEV
  5. Roundcube Webmail – Persistentes Cross-Site Scripting (XSS)

    CVE-2023-43770 Aktiv ausgenutzt

    In Roundcube Webmail wurde eine persistente Cross-Site Scripting (XSS)-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 79.5 %.

    EPSS: 79.47% Publiziert: Referenz: CISA KEV
  6. Roundcube Webmail – SQL Injection

    CVE-2021-44026 Aktiv ausgenutzt

    In Roundcube Webmail wurde eine SQL-Injection-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 72.5 %.

    EPSS: 72.53% Publiziert: Referenz: CISA KEV
  7. Roundcube Webmail – Cross-Site Scripting (XSS)

    CVE-2020-13965 Aktiv ausgenutzt

    In Roundcube Webmail wurde eine Cross-Site Scripting (XSS)-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 71.8 %.

    EPSS: 71.82% Publiziert: Referenz: CISA KEV
  8. Roundcube Webmail – Cross-Site Scripting (XSS)

    CVE-2020-35730 Aktiv ausgenutzt

    In Roundcube Webmail wurde eine Cross-Site Scripting (XSS)-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 67.4 %.

    EPSS: 67.42% Publiziert: Referenz: CISA KEV
  9. RoundCube Webmail – Cross-Site Scripting (XSS)

    CVE-2024-37383 Aktiv ausgenutzt

    In RoundCube Webmail wurde eine Cross-Site Scripting (XSS)-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 64.5 %.

    EPSS: 64.52% Publiziert: Referenz: CISA KEV
  10. Roundcube Webmail File Disclosure Vulnerability

    CVE-2017-16651 Aktiv ausgenutzt

    In Roundcube Webmail wurde eine Schwachstelle zur Offenlegung von Dateien gemeldet, die es Angreifern ermöglicht, auf nicht autorisierte Dateien zuzugreifen. Betroffen sind Produkte von Synology und Roundcube. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 36.9 %.

    EPSS: 36.92% Publiziert: Referenz: CISA KEV
  11. RoundCube Webmail – Cross-Site Scripting (XSS)

    CVE-2025-68461 Aktiv ausgenutzt

    In RoundCube Webmail wurde eine Cross-Site Scripting (XSS)-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 6.9 %.

    EPSS: 6.86% Publiziert: Referenz: CISA KEV
  12. Bulwark Webmail: Authentication-Bypass durch fehlerhafte Session-Prüfung

    CVE-2026-34834 Hoch

    In Bulwark Webmail vor Version 1.4.10 enthielt die Funktion verifyIdentity() eine Logik, die true zurückgab, wenn keine Session-Cookies vorhanden waren. Dadurch konnten Anfragen ohne gültige Sitzung als authentifiziert behandelt werden. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.13% Publiziert: Referenz: NVD
  13. Roundcube Webmail: Pre-Auth-SQL-Injection im virtuser_query-Plugin

    CVE-2026-48842 Hoch

    Roundcube Webmail 1.6.x vor 1.6.16 und 1.7.x vor 1.7.1 enthält eine SQL-Injection, die bereits vor der Authentifizierung ausnutzbar ist. Sie befindet sich im virtuser_query-Plugin und wird über eine Umgehung des Backslash-Escapings in preg_replace() ausgelöst. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf Roundcube Webmail 1.6.16 bzw. 1.7.1 oder neuer aktualisieren.

    CVSS: 8.1 EPSS: 0.13% Publiziert: Referenz: NVD
  14. Bulwark Webmail: Fehlende S/MIME-Zertifikatsketten-Validierung

    CVE-2026-35389 Hoch

    In Bulwark Webmail vor Version 1.4.11 wurde bei der S/MIME-Signaturverifizierung die Zertifikatskette nicht geprüft (checkChain: false). Dadurch konnten E-Mails mit nicht vertrauenswürdigen oder gefälschten Zertifikaten als gültig signiert erscheinen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.02% Publiziert: Referenz: NVD
  15. Bulwark Webmail: IP-Spoofing via X-Forwarded-For-Header

    CVE-2026-35391 Hoch

    In Bulwark Webmail vor Version 1.4.11 verwendete die Funktion getClientIP() in lib/admin/session.ts den ersten (linksten) Eintrag des X-Forwarded-For-Headers als Client-IP. Da dieser Header durch Angreifer manipulierbar ist, konnten IP-basierte Zugriffsbeschränkungen umgangen werden. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.02% Publiziert: Referenz: NVD
  16. Bulwark Webmail: Passwort-Offenlegung über Session-Endpunkt

    CVE-2026-34833 Hoch

    In Bulwark Webmail, einem selbst gehosteten Webclient für den Stalwart Mail Server, wurde vor Version 1.4.10 das Klartextpasswort des Benutzers in der JSON-Antwort des Endpunkts GET /api/auth/session zurückgegeben. Dies ermöglichte Angreifern mit Zugriff auf die Antwort, Anmeldedaten auszulesen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.02% Publiziert: Referenz: NVD
  17. Stored Cross-Site-Scripting in Roundcube Webmail

    CVE-2026-54433 Hoch

    In Roundcube Webmail vor 1.6.17 und in den Versionen 1.7.x vor 1.7.2 besteht ein Stored-Cross-Site-Scripting (XSS) über eine präparierte Klartext-E-Mail. Der vom Angreifer kontrollierte JavaScript-Code wird im Kontext des Opfers ausgeführt. CVSS-Basiswert: 7.2 (Hoch). Empfohlene Massnahme: auf Roundcube 1.6.17 bzw. 1.7.2 oder neuer aktualisieren.

    CVSS: 7.2 Publiziert: Referenz: NVD
  18. Roundcube Webmail – Unzureichende CSS-Bereinigung führt zu SSRF

    CVE-2026-62643 Hoch

    In Roundcube Webmail vor 1.6.17 und in der Reihe 1.7.x vor 1.7.2 werden Cascading Style Sheets (CSS) in HTML-E-Mails unzureichend bereinigt. Dies kann zu Server-Side Request Forgery (SSRF) oder zur Preisgabe von Informationen führen, etwa wenn Stylesheets nachgeladen werden. CVSS-Basiswert: 7.2 (Hoch). Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Empfohlene Massnahme: Update auf Roundcube 1.6.17 bzw. 1.7.2 oder neuer einspielen.

    CVSS: 7.2 Publiziert: Referenz: NVD
  19. Stored Cross-Site-Scripting in Roundcube Webmail (CVE-2026-54432)

    CVE-2026-54432 Mittel

    Roundcube Webmail vor 1.6.17 sowie 1.7.x vor 1.7.2 erlaubt Stored Cross-Site-Scripting (XSS), weil der MIME-Typ eines Anhangs bei der Anhang-Validierung nicht ordnungsgemäss maskiert wird. CVSS-Basiswert: 4.7 (Mittel). Für eine Ausnutzung ist eine Nutzerinteraktion erforderlich. Empfohlene Massnahme: auf Roundcube Webmail 1.6.17 bzw. 1.7.2 oder neuer aktualisieren.

    CVSS: 4.7 Publiziert: Referenz: NVD
  20. Denial of Service im TNEF-Decoder von Roundcube Webmail (CVE-2026-62641)

    CVE-2026-62641 Mittel

    In Roundcube Webmail vor 1.6.17 und 1.7.x vor 1.7.2 lässt sich der TNEF-Decoder über eine manipulierte Grösse eines komprimierten RTF-Datenstroms für einen Denial of Service ausnutzen. CVSS-Basiswert: 4.3 (Mittel). Ein EPSS-Wert liegt in den Quelldaten nicht vor. Empfohlene Massnahme: auf Roundcube Webmail 1.6.17 bzw. 1.7.2 oder neuer aktualisieren.

    CVSS: 4.3 Publiziert: Referenz: NVD
  21. Roundcube Webmail – Denial of Service durch Endlosschleife im TNEF-Decoder

    CVE-2026-62642 Mittel

    In Roundcube Webmail vor 1.6.17 und in 1.7.x vor 1.7.2 wurde eine Endlosschleife im TNEF-Decoder entdeckt, die beim Öffnen einer E-Mail mit TNEF-Anhang zu einem Denial of Service führen kann. CVSS-Basiswert: 4.3 (Mittel). Empfohlene Massnahme: auf Roundcube Webmail 1.6.17 bzw. 1.7.2 oder neuer aktualisieren.

    CVSS: 4.3 Publiziert: Referenz: NVD
  22. Roundcube Webmail: Benutzernamen-Spoofing im Passwort-Plugin

    CVE-2026-62644 Mittel

    In Roundcube Webmail vor 1.6.17 und in den Versionen 1.7.x vor 1.7.2 war das Passwort-Plugin anfällig für ein Benutzernamen-Spoofing über Sitzungsdaten, was zu einer Kontoübernahme führen konnte. CVSS-Basiswert: 6.4 (Mittel). Empfohlene Massnahme: auf Roundcube 1.6.17 bzw. 1.7.2 oder neuer aktualisieren.

    CVSS: 6.4 Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für Roundcube Webmail, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog