<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>xonatec TI-Feed: Roundcube Webmail</title>
    <link>https://feed.xonatec.ch/produkte/roundcube</link>
    <description>Priorisierte Schwachstellen-Reports für Roundcube Webmail. Kostenlos &amp; offen, stündlich aktualisiert.</description>
    <language>de</language>
    <lastBuildDate>Wed, 03 Jun 2026 00:00:00 GMT</lastBuildDate>
    <atom:link href="https://feed.xonatec.ch/rss/produkt/roundcube.xml" rel="self" type="application/rss+xml" />
    <generator>xonatec TI-Feed RSS Generator</generator>
    <item>
      <title>🔴 CVE-2020-12641 — Roundcube Webmail – Remote Code Execution</title>
      <link>https://feed.xonatec.ch/reports/cve-2020-12641</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2020-12641</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Roundcube Webmail wurde eine Schwachstelle zur Remote Code Execution identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 93.3 %.

Severity: Aktiv ausgenutzt · EPSS: 93.3% · aktiv ausgenutzt (KEV)

Betroffene Produkte: roundcube</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Roundcube</category>
    </item>
    <item>
      <title>🔴 CVE-2024-42009 — RoundCube Webmail – Cross-Site Scripting (XSS)</title>
      <link>https://feed.xonatec.ch/reports/cve-2024-42009</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2024-42009</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In RoundCube Webmail wurde eine Cross-Site Scripting (XSS)-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 91.2 %.

Severity: Aktiv ausgenutzt · EPSS: 91.2% · aktiv ausgenutzt (KEV)

Betroffene Produkte: roundcube</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Roundcube</category>
    </item>
    <item>
      <title>🔴 CVE-2025-49113 — RoundCube Webmail – Deserialisierung nicht vertrauenswürdiger Daten</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-49113</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-49113</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In RoundCube Webmail wurde eine Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 90.5 %.

Severity: Aktiv ausgenutzt · EPSS: 90.5% · aktiv ausgenutzt (KEV)

Betroffene Produkte: roundcube</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Roundcube</category>
    </item>
    <item>
      <title>🔴 CVE-2023-5631 — Roundcube Webmail – Persistentes Cross-Site Scripting (XSS)</title>
      <link>https://feed.xonatec.ch/reports/cve-2023-5631</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2023-5631</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Roundcube Webmail wurde eine persistente Cross-Site Scripting (XSS)-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 83.2 %.

Severity: Aktiv ausgenutzt · EPSS: 83.2% · aktiv ausgenutzt (KEV)

Betroffene Produkte: roundcube</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Roundcube</category>
    </item>
    <item>
      <title>🔴 CVE-2023-43770 — Roundcube Webmail – Persistentes Cross-Site Scripting (XSS)</title>
      <link>https://feed.xonatec.ch/reports/cve-2023-43770</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2023-43770</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Roundcube Webmail wurde eine persistente Cross-Site Scripting (XSS)-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 79.5 %.

Severity: Aktiv ausgenutzt · EPSS: 79.5% · aktiv ausgenutzt (KEV)

Betroffene Produkte: roundcube</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Roundcube</category>
    </item>
    <item>
      <title>🔴 CVE-2021-44026 — Roundcube Webmail – SQL Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2021-44026</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2021-44026</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Roundcube Webmail wurde eine SQL-Injection-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 72.5 %.

Severity: Aktiv ausgenutzt · EPSS: 72.5% · aktiv ausgenutzt (KEV)

Betroffene Produkte: roundcube</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Roundcube</category>
    </item>
    <item>
      <title>🔴 CVE-2020-13965 — Roundcube Webmail – Cross-Site Scripting (XSS)</title>
      <link>https://feed.xonatec.ch/reports/cve-2020-13965</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2020-13965</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Roundcube Webmail wurde eine Cross-Site Scripting (XSS)-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 71.8 %.

Severity: Aktiv ausgenutzt · EPSS: 71.8% · aktiv ausgenutzt (KEV)

Betroffene Produkte: roundcube</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Roundcube</category>
    </item>
    <item>
      <title>🔴 CVE-2020-35730 — Roundcube Webmail – Cross-Site Scripting (XSS)</title>
      <link>https://feed.xonatec.ch/reports/cve-2020-35730</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2020-35730</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Roundcube Webmail wurde eine Cross-Site Scripting (XSS)-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 67.4 %.

Severity: Aktiv ausgenutzt · EPSS: 67.4% · aktiv ausgenutzt (KEV)

Betroffene Produkte: roundcube</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Roundcube</category>
    </item>
    <item>
      <title>🔴 CVE-2024-37383 — RoundCube Webmail – Cross-Site Scripting (XSS)</title>
      <link>https://feed.xonatec.ch/reports/cve-2024-37383</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2024-37383</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In RoundCube Webmail wurde eine Cross-Site Scripting (XSS)-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 64.5 %.

Severity: Aktiv ausgenutzt · EPSS: 64.5% · aktiv ausgenutzt (KEV)

Betroffene Produkte: roundcube</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Roundcube</category>
    </item>
    <item>
      <title>🔴 CVE-2017-16651 — Roundcube Webmail File Disclosure Vulnerability</title>
      <link>https://feed.xonatec.ch/reports/cve-2017-16651</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2017-16651</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Roundcube Webmail wurde eine Schwachstelle zur Offenlegung von Dateien gemeldet, die es Angreifern ermöglicht, auf nicht autorisierte Dateien zuzugreifen. Betroffen sind Produkte von Synology und Roundcube. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 36.9 %.

Severity: Aktiv ausgenutzt · EPSS: 36.9% · aktiv ausgenutzt (KEV)

Betroffene Produkte: synology, roundcube</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Synology</category><category>Roundcube</category>
    </item>
    <item>
      <title>🔴 CVE-2025-68461 — RoundCube Webmail – Cross-Site Scripting (XSS)</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-68461</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-68461</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In RoundCube Webmail wurde eine Cross-Site Scripting (XSS)-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 6.9 %.

Severity: Aktiv ausgenutzt · EPSS: 6.9% · aktiv ausgenutzt (KEV)

Betroffene Produkte: roundcube</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Roundcube</category>
    </item>
    <item>
      <title>CVE-2026-34834 — Bulwark Webmail: Authentication-Bypass durch fehlerhafte Session-Prüfung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-34834</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-34834</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Bulwark Webmail vor Version 1.4.10 enthielt die Funktion verifyIdentity() eine Logik, die true zurückgab, wenn keine Session-Cookies vorhanden waren. Dadurch konnten Anfragen ohne gültige Sitzung als authentifiziert behandelt werden. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.1%

Betroffene Produkte: roundcube</description>
      <category>Hoch</category><category>Roundcube</category>
    </item>
    <item>
      <title>CVE-2026-48842 — Roundcube Webmail: Pre-Auth-SQL-Injection im virtuser_query-Plugin</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-48842</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-48842</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Roundcube Webmail 1.6.x vor 1.6.16 und 1.7.x vor 1.7.1 enthält eine SQL-Injection, die bereits vor der Authentifizierung ausnutzbar ist. Sie befindet sich im virtuser_query-Plugin und wird über eine Umgehung des Backslash-Escapings in preg_replace() ausgelöst. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf Roundcube Webmail 1.6.16 bzw. 1.7.1 oder neuer aktualisieren.

Severity: Hoch · CVSS: 8.1 · EPSS: 0.1%

Betroffene Produkte: roundcube</description>
      <category>Hoch</category><category>Roundcube</category>
    </item>
    <item>
      <title>CVE-2026-35389 — Bulwark Webmail: Fehlende S/MIME-Zertifikatsketten-Validierung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-35389</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-35389</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Bulwark Webmail vor Version 1.4.11 wurde bei der S/MIME-Signaturverifizierung die Zertifikatskette nicht geprüft (checkChain: false). Dadurch konnten E-Mails mit nicht vertrauenswürdigen oder gefälschten Zertifikaten als gültig signiert erscheinen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.0%

Betroffene Produkte: roundcube</description>
      <category>Hoch</category><category>Roundcube</category>
    </item>
    <item>
      <title>CVE-2026-35391 — Bulwark Webmail: IP-Spoofing via X-Forwarded-For-Header</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-35391</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-35391</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Bulwark Webmail vor Version 1.4.11 verwendete die Funktion getClientIP() in lib/admin/session.ts den ersten (linksten) Eintrag des X-Forwarded-For-Headers als Client-IP. Da dieser Header durch Angreifer manipulierbar ist, konnten IP-basierte Zugriffsbeschränkungen umgangen werden. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.0%

Betroffene Produkte: roundcube</description>
      <category>Hoch</category><category>Roundcube</category>
    </item>
    <item>
      <title>CVE-2026-34833 — Bulwark Webmail: Passwort-Offenlegung über Session-Endpunkt</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-34833</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-34833</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Bulwark Webmail, einem selbst gehosteten Webclient für den Stalwart Mail Server, wurde vor Version 1.4.10 das Klartextpasswort des Benutzers in der JSON-Antwort des Endpunkts GET /api/auth/session zurückgegeben. Dies ermöglichte Angreifern mit Zugriff auf die Antwort, Anmeldedaten auszulesen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.0%

Betroffene Produkte: roundcube</description>
      <category>Hoch</category><category>Roundcube</category>
    </item>
    <item>
      <title>CVE-2026-54433 — Stored Cross-Site-Scripting in Roundcube Webmail</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-54433</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-54433</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Roundcube Webmail vor 1.6.17 und in den Versionen 1.7.x vor 1.7.2 besteht ein Stored-Cross-Site-Scripting (XSS) über eine präparierte Klartext-E-Mail. Der vom Angreifer kontrollierte JavaScript-Code wird im Kontext des Opfers ausgeführt. CVSS-Basiswert: 7.2 (Hoch). Empfohlene Massnahme: auf Roundcube 1.6.17 bzw. 1.7.2 oder neuer aktualisieren.

Severity: Hoch · CVSS: 7.2

Betroffene Produkte: roundcube</description>
      <category>Hoch</category><category>Roundcube</category>
    </item>
    <item>
      <title>CVE-2026-62643 — Roundcube Webmail – Unzureichende CSS-Bereinigung führt zu SSRF</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-62643</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-62643</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Roundcube Webmail vor 1.6.17 und in der Reihe 1.7.x vor 1.7.2 werden Cascading Style Sheets (CSS) in HTML-E-Mails unzureichend bereinigt. Dies kann zu Server-Side Request Forgery (SSRF) oder zur Preisgabe von Informationen führen, etwa wenn Stylesheets nachgeladen werden. CVSS-Basiswert: 7.2 (Hoch). Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Empfohlene Massnahme: Update auf Roundcube 1.6.17 bzw. 1.7.2 oder neuer einspielen.

Severity: Hoch · CVSS: 7.2

Betroffene Produkte: roundcube</description>
      <category>Hoch</category><category>Roundcube</category>
    </item>
    <item>
      <title>CVE-2026-54432 — Stored Cross-Site-Scripting in Roundcube Webmail (CVE-2026-54432)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-54432</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-54432</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Roundcube Webmail vor 1.6.17 sowie 1.7.x vor 1.7.2 erlaubt Stored Cross-Site-Scripting (XSS), weil der MIME-Typ eines Anhangs bei der Anhang-Validierung nicht ordnungsgemäss maskiert wird. CVSS-Basiswert: 4.7 (Mittel). Für eine Ausnutzung ist eine Nutzerinteraktion erforderlich. Empfohlene Massnahme: auf Roundcube Webmail 1.6.17 bzw. 1.7.2 oder neuer aktualisieren.

Severity: Mittel · CVSS: 4.7

Betroffene Produkte: roundcube</description>
      <category>Mittel</category><category>Roundcube</category>
    </item>
    <item>
      <title>CVE-2026-62641 — Denial of Service im TNEF-Decoder von Roundcube Webmail (CVE-2026-62641)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-62641</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-62641</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Roundcube Webmail vor 1.6.17 und 1.7.x vor 1.7.2 lässt sich der TNEF-Decoder über eine manipulierte Grösse eines komprimierten RTF-Datenstroms für einen Denial of Service ausnutzen. CVSS-Basiswert: 4.3 (Mittel). Ein EPSS-Wert liegt in den Quelldaten nicht vor. Empfohlene Massnahme: auf Roundcube Webmail 1.6.17 bzw. 1.7.2 oder neuer aktualisieren.

Severity: Mittel · CVSS: 4.3

Betroffene Produkte: roundcube</description>
      <category>Mittel</category><category>Roundcube</category>
    </item>
    <item>
      <title>CVE-2026-62642 — Roundcube Webmail – Denial of Service durch Endlosschleife im TNEF-Decoder</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-62642</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-62642</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Roundcube Webmail vor 1.6.17 und in 1.7.x vor 1.7.2 wurde eine Endlosschleife im TNEF-Decoder entdeckt, die beim Öffnen einer E-Mail mit TNEF-Anhang zu einem Denial of Service führen kann. CVSS-Basiswert: 4.3 (Mittel). Empfohlene Massnahme: auf Roundcube Webmail 1.6.17 bzw. 1.7.2 oder neuer aktualisieren.

Severity: Mittel · CVSS: 4.3

Betroffene Produkte: roundcube</description>
      <category>Mittel</category><category>Roundcube</category>
    </item>
    <item>
      <title>CVE-2026-62644 — Roundcube Webmail: Benutzernamen-Spoofing im Passwort-Plugin</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-62644</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-62644</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Roundcube Webmail vor 1.6.17 und in den Versionen 1.7.x vor 1.7.2 war das Passwort-Plugin anfällig für ein Benutzernamen-Spoofing über Sitzungsdaten, was zu einer Kontoübernahme führen konnte. CVSS-Basiswert: 6.4 (Mittel). Empfohlene Massnahme: auf Roundcube 1.6.17 bzw. 1.7.2 oder neuer aktualisieren.

Severity: Mittel · CVSS: 6.4

Betroffene Produkte: roundcube</description>
      <category>Mittel</category><category>Roundcube</category>
    </item>
  </channel>
</rss>
