ICS Labs Outbreak Alert - Roundcube Webmail CVEs de 2020–2025

Security Team
23 de out.
2 min de leitura

O ICSLabs identificou que o Roundcube apresenta múltiplas vulnerabilidades críticas desde 2020, incluindo execução remota de código (RCE), injeção de SQL, XSS persistente e path traversal. Algumas falhas permitem comprometimento completo do servidor ou exfiltração de dados de e-mails.

As versões afetadas incluem linhas 1.2.x → 1.6.x, dependendo da CVE. Atualizações corretivas estão disponíveis nas versões 1.4.15, 1.5.10 e 1.6.11 ou superiores.

Resumo de CVEs (2020–2025)

CVE	Tipo	Versões afetadas	Versão corrigida / mínima fixada
CVE‑2020‑12640	XSS	Antes da 1.4.4	1.4.4+
CVE‑2020‑13965	RCE	Antes da 1.3.12 / 1.4.x antes da 1.4.5	1.3.12 / 1.4.5+
CVE‑2020‑35730	SQLi	1.2.x antes 1.2.13 / 1.3.x antes 1.3.16 / 1.4.x antes 1.4.10	1.2.13 / 1.3.16 / 1.4.10+
CVE‑2021‑44026	SQLi	1.3.x antes 1.3.17 / 1.4.x antes 1.4.12	1.3.17 / 1.4.12+
CVE‑2023‑43770	XSS	1.4.x antes 1.4.14 / 1.5.x antes 1.5.4 / 1.6.x antes 1.6.3	1.4.14 / 1.5.4 / 1.6.3+
CVE‑2023‑5631	RCE / XSS	1.4.x antes 1.4.15 / 1.5.x antes 1.5.5 / 1.6.x antes 1.6.4	1.4.15 / 1.5.5 / 1.6.4+
CVE‑2024‑37384	RCE	1.5.x antes 1.5.7 / 1.6.x antes 1.6.7	1.5.7 / 1.6.7+
CVE‑2024‑42008	XSS / RCE	1.5.x até 1.5.7 / 1.6.x até 1.6.7	1.5.8 / 1.6.8+
CVE‑2024‑57004	Upload inseguro	1.6.9	Dependente da release, atualizar para 1.6.11+
CVE‑2025‑49113	RCE (Deserialization PHP)	1.5.x antes 1.5.10 / 1.6.x antes 1.6.11	1.5.10 / 1.6.11+

Ações Recomendadas:

Atualizar imediatamente para versões corrigidas:
- Linha 1.5.x → 1.5.10+
- Linha 1.6.x → 1.6.11+
Revisar e restringir plugins, desabilitando os não essenciais.
Monitorar logs de acesso e erros para identificar exploração prévia.
Bloquear endpoints de instalação e upload (/installer/, upload.php) até atualização.
Aplicar reforço de segurança: HTTPS, WAF, CSP, autenticação forte.