CSIRT Toscana Vulnerabilità in Roundcube Webmail (AL08/251219/CSIRT-ITA)
Data:
23 Febbraio 2026
Impatto Sistemico
Alto (72.05)
Sintesi
Aggiornamenti di sicurezza sanano due vulnerabilità, di cui una con gravità “alta” in Roundcube Webmail, noto gestore di posta elettronica open source. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato remoto il furto di credenziali, token di sessione e dati sensibili.
Tipologia
- Information disclosure
Prodotti e versioni affette
Roundcube Webmail
- 1.6.x, versioni precedenti alla 1.6.12
- 1.5.x LTS, versioni precedenti alla 1.5.12
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili come indicato nei bollettini di sicurezza riportati nella sezione Riferimenti.
Riferimenti
- https://roundcube.net/news/2025/12/13/security-updates-1.6.12-and-1.5.12
- https://github.com/roundcube/roundcubemail/releases/tag/1.6.12
- https://github.com/roundcube/roundcubemail/releases/tag/1.5.12
CVE
| CVE-ID |
|---|
| CVE-2025-68461 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 19-12-2025 | 19/12/2025 |
| 1.1 | Aggiornata sezione “CVE” per rilevato sfruttamento della CVE-2025-68461 | 23/02/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
23 Febbraio 2026, 10:00