Alert GCSA-26102 - Vulnerabilita' in Roundcube Webmail

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 ****************************************************************** alert ID: GCSA-26102 data: 31 maggio 2026 titolo: Vulnerabilita' in Roundcube Webmail ****************************************************************** :: Descrizione del problema Sono state rilasciate nuove versioni del prodotto Roundcube Webmail, per risolvere 8 vulnerabilita', delle quali 4 di gravita' "alta". Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software / Dispositivi interessati Roundcube Webmail versioni precedenti alla 1.6.16 Roundcube Webmail versioni precedenti alla 1.7.1 :: Impatto Attacco all'integrita' dei dati (Data Manipulation) Attacco alla confidenzialita' dei dati (ID) Bypass delle funzionalita' di sicurezza (SFB) Esecuzione remota di codice arbitrario (RCE) Server-side Request Forgery (SSRF) SQL Injection (SQLi) :: Soluzioni Aggiornare il prodotto alle ultime versioni https://github.com/roundcube/roundcubemail/releases/tag/1.6.16 https://github.com/roundcube/roundcubemail/releases/tag/1.7.1 Se non e' possibile aggiornare, si consiglia di limitare l'accesso all'interfaccia webmail, disattivare l'upload dei file, aggiungere la protezione agli attacchi CSRF, bloccare le funzioni PHP rischiose e monitorare gli indicatori di exploit. :: Riferimenti Security updates 1.6.16 and 1.7.1 released https://roundcube.net/news/2026/05/24/security-updates-1.6.16-and-1.7.1 Debian security advisory https://lists.debian.org/debian-security-announce/2026/msg00212.html https://lists.debian.org/debian-lts-announce/2026/05/msg00048.html https://security-tracker.debian.org/tracker/DSA-6301-1 Riferimenti CVE https://www.cve.org/CVERecord?id=CVE-2026-48842 https://www.cve.org/CVERecord?id=CVE-2026-48843 https://www.cve.org/CVERecord?id=CVE-2026-48844 https://www.cve.org/CVERecord?id=CVE-2026-48845 https://www.cve.org/CVERecord?id=CVE-2026-48846 https://www.cve.org/CVERecord?id=CVE-2026-48847 https://www.cve.org/CVERecord?id=CVE-2026-48848 https://www.cve.org/CVERecord?id=CVE-2026-48849 GARR CERT Security Alert - subscribe/unsubscribe: https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert -----BEGIN PGP SIGNATURE----- iF0EAREIAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCahw1LAAKCRDBnEyTZRJg QiobAKC92fJiJdy10DiNsVjNFiww+RPzxQCfdMFiR3InS+deot266Sxwg7QklaA= =QiVF -----END PGP SIGNATURE-----