Roundcube

Webmail

91 Schwachstellen gefunden.

Hinweis: Diese Liste kann unvollständig sein. Daten werden ohne Gewähr im Ursprungsformat bereitgestellt.
Warnung Medienbericht
  • EPSS 19.77%
  • Veröffentlicht 18.12.2025 05:00:54
  • Zuletzt bearbeitet 23.02.2026 13:24:12

Roundcube Webmail before 1.5.12 and 1.6 before 1.6.12 is prone to a Cross-Site-Scripting (XSS) vulnerability via the animate tag in an SVG document.

  • EPSS 0.24%
  • Veröffentlicht 18.12.2025 04:54:13
  • Zuletzt bearbeitet 02.01.2026 16:25:43

Roundcube Webmail before 1.5.12 and 1.6 before 1.6.12 is prone to a information disclosure vulnerability in the HTML style sanitizer.

Warnung Medienbericht Exploit
  • EPSS 89.46%
  • Veröffentlicht 02.06.2025 00:00:00
  • Zuletzt bearbeitet 23.02.2026 13:24:21

Roundcube Webmail before 1.5.10 and 1.6.x before 1.6.11 allows remote code execution by authenticated users because the _from parameter in a URL is not validated in program/actions/settings/upload.php, leading to PHP Object Deserialization.

Exploit
  • EPSS 28.82%
  • Veröffentlicht 03.02.2025 19:15:12
  • Zuletzt bearbeitet 22.12.2025 16:03:05

Cross-Site Scripting (XSS) vulnerability in Roundcube Webmail 1.6.9 allows remote authenticated users to upload a malicious file as an email attachment, leading to the triggering of the XSS by visiting the SENT session.

Warnung Medienbericht
  • EPSS 83.39%
  • Veröffentlicht 05.08.2024 19:15:38
  • Zuletzt bearbeitet 04.11.2025 15:01:04

A Cross-Site Scripting vulnerability in Roundcube through 1.5.7 and 1.6.x through 1.6.7 allows a remote attacker to steal and send emails of a victim via a crafted e-mail message that abuses a Desanitization issue in message_body() in program/actions...

  • EPSS 33.89%
  • Veröffentlicht 05.08.2024 19:15:38
  • Zuletzt bearbeitet 13.03.2025 16:15:21

A Cross-Site Scripting vulnerability in rcmail_action_mail_get->run() in Roundcube through 1.5.7 and 1.6.x through 1.6.7 allows a remote attacker to steal and send emails of a victim via a malicious e-mail attachment served with a dangerous Content-T...

  • EPSS 1.48%
  • Veröffentlicht 07.06.2024 04:15:30
  • Zuletzt bearbeitet 06.02.2026 17:48:55

Roundcube Webmail before 1.5.7 and 1.6.x before 1.6.7 on Windows allows command injection via im_convert_path and im_identify_path. NOTE: this issue exists because of an incomplete fix for CVE-2020-12641.

  • EPSS 0.5%
  • Veröffentlicht 07.06.2024 04:15:30
  • Zuletzt bearbeitet 01.05.2025 19:51:01

Roundcube Webmail before 1.5.7 and 1.6.x before 1.6.7 allows XSS via list columns from user preferences.

Warnung
  • EPSS 73.3%
  • Veröffentlicht 07.06.2024 04:15:30
  • Zuletzt bearbeitet 31.10.2025 12:48:27

Roundcube Webmail before 1.5.7 and 1.6.x before 1.6.7 allows XSS via SVG animate attributes.

  • EPSS 0.64%
  • Veröffentlicht 06.11.2023 00:15:09
  • Zuletzt bearbeitet 21.11.2024 08:30:05

Roundcube 1.5.x before 1.5.6 and 1.6.x before 1.6.5 allows XSS via a Content-Type or Content-Disposition header (used for attachment preview or download).