2026-2295: Roundcube Webmail: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

Historie:

Version 1 (2026-05-28 18:02): Neues Advisory

Betroffene Software

Office
Server

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, beliebigen Programmcode mit den Rechten des betroffenen Dienstes auszuführen, Cross-Site-Scripting (XSS)-Angriffe durchzuführen, einen Server-Side-Request-Forgery (SSRF)-Angriff und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Für Debian 11 Bullseye (LTS) steht Version 1.4.15+dfsg.1-1+deb11u9 von 'roundcube' bereit, um neun Schwachstellen zu beheben.

Schwachstellen:

CVE-2026-35540

Schwachstelle in Roundcube Webmail ermöglicht u. a. Ausspähen von Informationen

CVE-2026-48842

Schwachstelle in Roundcube Webmail ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2026-48843

Schwachstelle in Roundcube Webmail ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2026-48844

Schwachstelle in Roundcube Webmail ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2026-48845

Schwachstelle in Roundcube Webmail ermöglicht Ausspähen von Informationen

CVE-2026-48846

Schwachstelle in Roundcube Webmail ermöglicht Ausspähen von Informationen

CVE-2026-48847

Schwachstelle in Roundcube Webmail ermöglicht Denial-of-Service-Angriff

CVE-2026-48848

Schwachstelle in Roundcube Webmail ermöglicht Cross-Site-Scripting-Angriff

CVE-2026-48849