Roundcube - Security update 1.6.13

Ralph · Post by **Ralph** » Sun 8. Feb 2026, 11:01

Security fixes 1.6.13
Fix CSS injection vulnerability reported by CERT Polska.
Fix remote image blocking bypass via SVG content reported by nullcathedral.
https://roundcube.net/news/2026/02/08/s ... and-1.5.13

Security fixes 1.6.12
https://roundcube.net/news/2025/12/13/s ... and-1.5.12

Ralph · Post by **Ralph** » Sat 21. Feb 2026, 09:15

Alex, kannst Du Dir das bitte mal anschauen, ob es vieleicht über die Patch Funktion aktualisierbar ist?
CVE-2025-68461
https://www.cve.org/CVERecord?id=CVE-2025-68461

Auch wenn es nicht direkt Keyhelp betrifft oder keine Auswirkung hat, sieht es für einen User beunruhigend aus bei diesem CVE Score (HIGH).

MichaelS · Post by **MichaelS** » Mon 23. Feb 2026, 09:12

https://www.heise.de/news/Roundcube-Web ... 85535.html

Post by **Tobi** » Mon 23. Feb 2026, 09:16

MichaelS wrote: ↑Mon 23. Feb 2026, 09:12 https://www.heise.de/news/Roundcube-Web ... 85535.html

Dazu ist ein gültiges Mailkonto nötig.

Also entweder eure Kunden treiben den Unsinn selbst oder wurden ihrerseits wegen zu schwacher Passwörter gehackt.
Aber ohne gültiges Mailkonto (E-Mail-Adresse und Passwort) kann der Angriff wohl nicht erfolgen.

MichaelS · Post by **MichaelS** » Mon 23. Feb 2026, 09:20

Tobi wrote: ↑Mon 23. Feb 2026, 09:16 Aber ohne gültiges Mailkonto (E-Mail-Adresse und Passwort) kann der Angriff wohl nicht erfolgen.

Nach meinem Verständnis gilt das für eine der beiden geschlossenen Lücken. Bei der anderen reicht es aus eine E-Mail mit einer präparierten SVG-Datei zu öffnen.

Ich sehe das Risiko bei mir jetzt auch eher als moderat, finde aber gleichzeitig einen Patch sinnvoll.

Post by **Tobi** » Mon 23. Feb 2026, 10:05

Na klar, der Patch wird definitiv kommen.
Alex hat auch die ganzen CVE-Listen der diversen Drittanbieter-Lösungen innerhalb von KeyHelp voll im Blick.
Eigentlich braucht es da keine Community-Reminder.

Denn Meldungen wie diese könnten Teile der KeyHelp-Community verunsichern.

Ralph · Post by **Ralph** » Mon 23. Feb 2026, 15:22

Tobi wrote: ↑Mon 23. Feb 2026, 10:05 Na klar, der Patch wird definitiv kommen.
Alex hat auch die ganzen CVE-Listen der diversen Drittanbieter-Lösungen innerhalb von KeyHelp voll im Blick.
Eigentlich braucht es da keine Community-Reminder.
Denn Meldungen wie diese könnten Teile der KeyHelp-Community verunsichern.

Hallo Tobi, der CVE Score könnte Teile der KeyHelp-Community ebenfalls verunsichern, der ist aber jetzt nunmal da, ob es relevant ist oder nicht

Aber ich gebe Dir Recht, bezgl. Password phishing, da gibt es weitaus bessere und einfache Methoden und eben die Mega Listen von gehackten Accounts und Posfächern von externen Anbietern etc.
In der Meldung der CISA wurden allerdings auch einige techn. Details zwecks Schadensbegrenzung ausgelassen (darauf wird hingewiesen) ...
Also ich vertraue Alex auf jeden Fall und ich zweifele Deine Aussage auch nicht an, es ist nur so wenn ein Kundenkonto gehackt wird, ist es in den meisten Fällen so dass der Kunde erstmal die Schuld auf den Anbieter schiebt ... dabei könnte ein Kunde die veraltete Anwendung mit dem CVE anprangern.

Post by **Alexander** » Mon 23. Feb 2026, 15:26

Patch ist live.

Zum installieren: Konfiguration -> Patch-Manager

24unix · Post by **24unix** » Mon 23. Feb 2026, 15:47

Alexander wrote: ↑Mon 23. Feb 2026, 15:26 Patch ist live.

Zum installieren: Konfiguration -> Patch-Manager

Cool, ist der neu oder habe ich den immer übersehen?

Post by **Alexander** » Mon 23. Feb 2026, 15:53

Der kam mit 25.1, bisschen länger als ein halbes Jahr her.

Roundcube - Security update 1.6.13 [SOLVED]

Roundcube - Security update 1.6.13

Re: Roundcube - Security update 1.6.13

Re: Roundcube - Security update 1.6.13

Re: Roundcube - Security update 1.6.13

Re: Roundcube - Security update 1.6.13

Re: Roundcube - Security update 1.6.13

Re: Roundcube - Security update 1.6.13

Re: Roundcube - Security update 1.6.13 [SOLVED]

Re: Roundcube - Security update 1.6.13

Re: Roundcube - Security update 1.6.13