CSIRT Toscana Vulnerabilità in Roundcube Webmail (AL06/260320/CSIRT-ITA)
Data:
3 Aprile 2026
Impatto Sistemico
Alto (66.66)
Sintesi
Aggiornamenti di sicurezza sanano 8 vulnerabilità in Roundcube Webmail, noto gestore di posta elettronica open source.
Tipologia
- Arbitrary File Write
- Information Disclosure
- Security Restrictions Bypass
Prodotti e versioni affette
Roundcube Webmail
- 1.7-rcx, versioni precedenti alla 1.7-rc5
- 1.6.x, versioni precedenti alla 1.6.14
- 1.5.x LTS, versioni precedenti alla 1.5.14
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili come indicato nel bollettino di sicurezza riportato nella sezione Riferimenti.
Riferimenti
- https://roundcube.net/news/2026/03/18/security-updates-1.7-rc5-1.6.14-1.5.14
- https://github.com/roundcube/roundcubemail/releases/tag/1.7-rc5
- https://github.com/roundcube/roundcubemail/releases/tag/1.6.14
- https://github.com/roundcube/roundcubemail/releases/tag/1.5.14
CVE
| CVE-ID | |||
|---|---|---|---|
| CVE-2026-35540 | CVE-2026-35538 | CVE-2026-35539 | CVE-2026-35537 |
| CVE-2026-35543 | CVE-2026-35544 | CVE-2026-35541 | CVE-2026-35542 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 20-03-2026 | 20/03/2026 |
| 1.1 | Aggiornata la sezione CVE con l’aggiunta delle vulnerabilità recentemente pubblicate. | 03/04/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
3 Aprile 2026, 14:30