W Roundcube Webmail wykryto podatność oznaczoną jako CVE-2026-48842. Jest to luka typu SQL Injection sklasyfikowana jako HIGH. Problem dotyczy mechanizmu virtuser_query i może być wykorzystany bez wcześniejszego logowania do panelu poczty.
Podatne są instalacje Roundcube 1.6.x przed wersją 1.6.16 oraz Roundcube 1.7.x przed wersją 1.7.1. Luka została opisana jako pre-authentication SQL injection, czyli podatność możliwa do wykorzystania jeszcze przed uwierzytelnieniem użytkownika.
Na czym polega zagrożenie?
SQL Injection to jedna z poważniejszych klas podatności aplikacji internetowych. W przypadku Roundcube problem może pozwolić atakującemu na manipulowanie zapytaniami kierowanymi do bazy danych aplikacji. W praktyce może to prowadzić do naruszenia poufności, integralności lub dostępności danych.
Szczególnie istotne jest to, że podatność dotyczy komponentu poczty webowej, który bardzo często jest publicznie dostępny z internetu pod adresami takimi jak poczta.domena.pl lub webmail.domena.pl.
Kogo dotyczy problem?
Problem może dotyczyć administratorów serwerów, firm hostingowych oraz właścicieli stron internetowych, którzy korzystają z Roundcube jako klienta poczty przez WWW.
Jeżeli Roundcube jest zainstalowany z pakietów systemowych, należy sprawdzić, czy dystrybucja udostępniła już poprawione pakiety bezpieczeństwa.
Zalecane działania
- zaktualizować Roundcube do wersji 1.6.16, 1.7.1 lub nowszej,
- w przypadku Debiana wykonać aktualizację pakietu
roundcube, - sprawdzić, czy używany jest plugin
virtuser_query, - przejrzeć logi serwera WWW oraz logi aplikacji pod kątem nietypowych żądań,
- ograniczyć dostęp do panelu webmail, jeżeli nie musi być publicznie dostępny dla wszystkich.
Przykładowa aktualizacja na Debianie
apt update apt upgrade roundcube
Po aktualizacji warto sprawdzić zainstalowaną wersję pakietu:
dpkg -l | grep roundcube
Dlaczego warto reagować szybko?
Roundcube jest popularnym webmailem używanym na wielu serwerach hostingowych. Publicznie dostępne panele pocztowe są częstym celem automatycznych skanerów i botów szukających znanych podatności. W przypadku luki typu SQL Injection zwlekanie z aktualizacją może znacząco zwiększyć ryzyko incydentu bezpieczeństwa.
W środowiskach hostingowych zalecamy potraktować tę aktualizację priorytetowo, szczególnie jeżeli Roundcube jest dostępny dla wielu klientów lub działa pod publicznym adresem webmail.
Źródła
- NVD — CVE-2026-48842
- Debian Security Tracker — CVE-2026-48842
- Debian Security Advisory DSA-6301-1 — roundcube security update
- Roundcube GitHub — commit poprawiający podatność
Potrzebujesz pomocy przy aktualizacji Roundcube, Debiana lub zabezpieczeniu serwera pocztowego?
Prywatny Informatyk pomaga w administracji serwerami Linux, aktualizacjach bezpieczeństwa, konfiguracji poczty, hostingu oraz ochronie usług dostępnych z internetu.
Skontaktuj się z nami, jeżeli chcesz sprawdzić bezpieczeństwo swojego serwera.