CSIRT Toscana Vulnerabilità in Roundcube Webmail (AL08/251219/CSIRT-ITA)
Data:
19 Dicembre 2025
Impatto Sistemico
Medio (64.35)
Sintesi
Aggiornamenti di sicurezza sanano due vulnerabilità, di cui una con gravità “alta” in Roundcube Webmail, noto gestore di posta elettronica open source. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato remoto il furto di credenziali, token di sessione e dati sensibili.
Tipologia
- Information disclosure
Prodotti e versioni affette
Roundcube Webmail
- 1.6.x, versioni precedenti alla 1.6.11
- 1.5.x LTS, versioni precedenti alla 1.5.11
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili come indicato nei bollettini di sicurezza riportati nella sezione Riferimenti.
Riferimenti
- https://roundcube.net/news/2025/12/13/security-updates-1.6.12-and-1.5.12
- https://github.com/roundcube/roundcubemail/releases/tag/1.6.12
- https://github.com/roundcube/roundcubemail/releases/tag/1.5.12
Change log
| Versione | Note | Data |
|---|---|---|
| 1 | Case # 21298 – (CVE) Vulnerabilità in Roundcube Webmail | 19/12/2025 |
| 1.0 | Pubblicato il 19-12-2025 | 19/12/2025 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
19 Dicembre 2025, 17:33