Roundcube Webmail
Hersteller: Roundcube
Roundcube Webmail gehört zur Kategorie „Unified Communications / VoIP / Collab". xonatec überwacht Roundcube Webmail kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.
Schwachstellen-Reports
22 ReportsZeige 1 bis 22 von 22
-
Roundcube Webmail – Remote Code Execution
CVE-2020-12641 Aktiv ausgenutztIn Roundcube Webmail wurde eine Schwachstelle zur Remote Code Execution identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 93.3 %.
EPSS: 93.27% Publiziert: Referenz: CISA KEV -
RoundCube Webmail – Cross-Site Scripting (XSS)
CVE-2024-42009 Aktiv ausgenutztIn RoundCube Webmail wurde eine Cross-Site Scripting (XSS)-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 91.2 %.
EPSS: 91.16% Publiziert: Referenz: CISA KEV -
RoundCube Webmail – Deserialisierung nicht vertrauenswürdiger Daten
CVE-2025-49113 Aktiv ausgenutztIn RoundCube Webmail wurde eine Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 90.5 %.
EPSS: 90.47% Publiziert: Referenz: CISA KEV -
Roundcube Webmail – Persistentes Cross-Site Scripting (XSS)
CVE-2023-5631 Aktiv ausgenutztIn Roundcube Webmail wurde eine persistente Cross-Site Scripting (XSS)-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 83.2 %.
EPSS: 83.23% Publiziert: Referenz: CISA KEV -
Roundcube Webmail – Persistentes Cross-Site Scripting (XSS)
CVE-2023-43770 Aktiv ausgenutztIn Roundcube Webmail wurde eine persistente Cross-Site Scripting (XSS)-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 79.5 %.
EPSS: 79.47% Publiziert: Referenz: CISA KEV -
Roundcube Webmail – SQL Injection
CVE-2021-44026 Aktiv ausgenutztIn Roundcube Webmail wurde eine SQL-Injection-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 72.5 %.
EPSS: 72.53% Publiziert: Referenz: CISA KEV -
Roundcube Webmail – Cross-Site Scripting (XSS)
CVE-2020-13965 Aktiv ausgenutztIn Roundcube Webmail wurde eine Cross-Site Scripting (XSS)-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 71.8 %.
EPSS: 71.82% Publiziert: Referenz: CISA KEV -
Roundcube Webmail – Cross-Site Scripting (XSS)
CVE-2020-35730 Aktiv ausgenutztIn Roundcube Webmail wurde eine Cross-Site Scripting (XSS)-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 67.4 %.
EPSS: 67.42% Publiziert: Referenz: CISA KEV -
RoundCube Webmail – Cross-Site Scripting (XSS)
CVE-2024-37383 Aktiv ausgenutztIn RoundCube Webmail wurde eine Cross-Site Scripting (XSS)-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 64.5 %.
EPSS: 64.52% Publiziert: Referenz: CISA KEV -
Roundcube Webmail File Disclosure Vulnerability
CVE-2017-16651 Aktiv ausgenutztIn Roundcube Webmail wurde eine Schwachstelle zur Offenlegung von Dateien gemeldet, die es Angreifern ermöglicht, auf nicht autorisierte Dateien zuzugreifen. Betroffen sind Produkte von Synology und Roundcube. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 36.9 %.
EPSS: 36.92% Publiziert: Referenz: CISA KEV -
RoundCube Webmail – Cross-Site Scripting (XSS)
CVE-2025-68461 Aktiv ausgenutztIn RoundCube Webmail wurde eine Cross-Site Scripting (XSS)-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 6.9 %.
EPSS: 6.86% Publiziert: Referenz: CISA KEV -
Bulwark Webmail: Authentication-Bypass durch fehlerhafte Session-Prüfung
CVE-2026-34834 HochIn Bulwark Webmail vor Version 1.4.10 enthielt die Funktion verifyIdentity() eine Logik, die true zurückgab, wenn keine Session-Cookies vorhanden waren. Dadurch konnten Anfragen ohne gültige Sitzung als authentifiziert behandelt werden. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.13% Publiziert: Referenz: NVD -
Roundcube Webmail: Pre-Auth-SQL-Injection im virtuser_query-Plugin
CVE-2026-48842 HochRoundcube Webmail 1.6.x vor 1.6.16 und 1.7.x vor 1.7.1 enthält eine SQL-Injection, die bereits vor der Authentifizierung ausnutzbar ist. Sie befindet sich im virtuser_query-Plugin und wird über eine Umgehung des Backslash-Escapings in preg_replace() ausgelöst. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf Roundcube Webmail 1.6.16 bzw. 1.7.1 oder neuer aktualisieren.
CVSS: 8.1 EPSS: 0.13% Publiziert: Referenz: NVD -
Bulwark Webmail: Fehlende S/MIME-Zertifikatsketten-Validierung
CVE-2026-35389 HochIn Bulwark Webmail vor Version 1.4.11 wurde bei der S/MIME-Signaturverifizierung die Zertifikatskette nicht geprüft (checkChain: false). Dadurch konnten E-Mails mit nicht vertrauenswürdigen oder gefälschten Zertifikaten als gültig signiert erscheinen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.02% Publiziert: Referenz: NVD -
Bulwark Webmail: IP-Spoofing via X-Forwarded-For-Header
CVE-2026-35391 HochIn Bulwark Webmail vor Version 1.4.11 verwendete die Funktion getClientIP() in lib/admin/session.ts den ersten (linksten) Eintrag des X-Forwarded-For-Headers als Client-IP. Da dieser Header durch Angreifer manipulierbar ist, konnten IP-basierte Zugriffsbeschränkungen umgangen werden. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.02% Publiziert: Referenz: NVD -
Bulwark Webmail: Passwort-Offenlegung über Session-Endpunkt
CVE-2026-34833 HochIn Bulwark Webmail, einem selbst gehosteten Webclient für den Stalwart Mail Server, wurde vor Version 1.4.10 das Klartextpasswort des Benutzers in der JSON-Antwort des Endpunkts GET /api/auth/session zurückgegeben. Dies ermöglichte Angreifern mit Zugriff auf die Antwort, Anmeldedaten auszulesen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.02% Publiziert: Referenz: NVD -
Stored Cross-Site-Scripting in Roundcube Webmail
CVE-2026-54433 HochIn Roundcube Webmail vor 1.6.17 und in den Versionen 1.7.x vor 1.7.2 besteht ein Stored-Cross-Site-Scripting (XSS) über eine präparierte Klartext-E-Mail. Der vom Angreifer kontrollierte JavaScript-Code wird im Kontext des Opfers ausgeführt. CVSS-Basiswert: 7.2 (Hoch). Empfohlene Massnahme: auf Roundcube 1.6.17 bzw. 1.7.2 oder neuer aktualisieren.
CVSS: 7.2 Publiziert: Referenz: NVD -
Roundcube Webmail – Unzureichende CSS-Bereinigung führt zu SSRF
CVE-2026-62643 HochIn Roundcube Webmail vor 1.6.17 und in der Reihe 1.7.x vor 1.7.2 werden Cascading Style Sheets (CSS) in HTML-E-Mails unzureichend bereinigt. Dies kann zu Server-Side Request Forgery (SSRF) oder zur Preisgabe von Informationen führen, etwa wenn Stylesheets nachgeladen werden. CVSS-Basiswert: 7.2 (Hoch). Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Empfohlene Massnahme: Update auf Roundcube 1.6.17 bzw. 1.7.2 oder neuer einspielen.
CVSS: 7.2 Publiziert: Referenz: NVD -
Stored Cross-Site-Scripting in Roundcube Webmail (CVE-2026-54432)
CVE-2026-54432 MittelRoundcube Webmail vor 1.6.17 sowie 1.7.x vor 1.7.2 erlaubt Stored Cross-Site-Scripting (XSS), weil der MIME-Typ eines Anhangs bei der Anhang-Validierung nicht ordnungsgemäss maskiert wird. CVSS-Basiswert: 4.7 (Mittel). Für eine Ausnutzung ist eine Nutzerinteraktion erforderlich. Empfohlene Massnahme: auf Roundcube Webmail 1.6.17 bzw. 1.7.2 oder neuer aktualisieren.
CVSS: 4.7 Publiziert: Referenz: NVD -
Denial of Service im TNEF-Decoder von Roundcube Webmail (CVE-2026-62641)
CVE-2026-62641 MittelIn Roundcube Webmail vor 1.6.17 und 1.7.x vor 1.7.2 lässt sich der TNEF-Decoder über eine manipulierte Grösse eines komprimierten RTF-Datenstroms für einen Denial of Service ausnutzen. CVSS-Basiswert: 4.3 (Mittel). Ein EPSS-Wert liegt in den Quelldaten nicht vor. Empfohlene Massnahme: auf Roundcube Webmail 1.6.17 bzw. 1.7.2 oder neuer aktualisieren.
CVSS: 4.3 Publiziert: Referenz: NVD -
Roundcube Webmail – Denial of Service durch Endlosschleife im TNEF-Decoder
CVE-2026-62642 MittelIn Roundcube Webmail vor 1.6.17 und in 1.7.x vor 1.7.2 wurde eine Endlosschleife im TNEF-Decoder entdeckt, die beim Öffnen einer E-Mail mit TNEF-Anhang zu einem Denial of Service führen kann. CVSS-Basiswert: 4.3 (Mittel). Empfohlene Massnahme: auf Roundcube Webmail 1.6.17 bzw. 1.7.2 oder neuer aktualisieren.
CVSS: 4.3 Publiziert: Referenz: NVD -
Roundcube Webmail: Benutzernamen-Spoofing im Passwort-Plugin
CVE-2026-62644 MittelIn Roundcube Webmail vor 1.6.17 und in den Versionen 1.7.x vor 1.7.2 war das Passwort-Plugin anfällig für ein Benutzernamen-Spoofing über Sitzungsdaten, was zu einer Kontoübernahme führen konnte. CVSS-Basiswert: 6.4 (Mittel). Empfohlene Massnahme: auf Roundcube 1.6.17 bzw. 1.7.2 oder neuer aktualisieren.
CVSS: 6.4 Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für Roundcube Webmail, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.