Se han lanzado actualizaciones de seguridad que corrigen múltiples vulnerabilidades en los productos de Roundcube. Entre ellas se encuentran tres de severidad alta. Esto podría permitir a un actor malicioso evadir los mecanismos de seguridad, comprometer la disponibilidad del servicio o ejecutar código arbitrario en los sistemas afectados.
Productos afectados
- Correo web de Roundcube: 1.6.x (versiones anteriores a 1.6.16)
- Correo web de Roundcube: 1.7.x (versiones anteriores a 1.7.1)
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-48842: con una puntuación de 8.1 en CVSS v3.1. Existe una vulnerabilidad de inyección SQL previa a la autenticación en el complemento virtuser_query. Este se genera debido a una omisión en el escape de barras invertidas dentro de la función preg_replace (). Un actor malicioso remoto podría aprovechar esta condición de manera no autenticada para ejecutar comandos estructurados en la base de datos subyacente.
CVE-2026-48844: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de inyección de código debido a una lógica insegura de evaluación de código en la opción autovalues de LDAP. Un actor malicioso remoto podría aprovechar esta condición con privilegios bajos para inyectar y ejecutar código arbitrario, logrando la ejecución remota de código en el servidor.
CVE-2026-48848: con una puntuación de 7.2 en CVSS v3.1. Existe una vulnerabilidad de sanitización de HTML insuficiente dentro del componente de procesamiento de correo. Este permite una inyección de CSS mediante un documento SVG que incluye un elemento animate con el atributo attributeName configurado como «style». Un actor malicioso remoto podría aprovechar esta condición para alterar la interfaz o evadir restricciones del desinfectante de HTML.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias