KeyHelp Community

Security fixes 1.6.13
Fix CSS injection vulnerability reported by CERT Polska.
Fix remote image blocking bypass via SVG content reported by nullcathedral.
https://roundcube.net/news/2026/02/08/s ... and-1.5.13

Security fixes 1.6.12
https://roundcube.net/news/2025/12/13/s ... and-1.5.12

Alex, kannst Du Dir das bitte mal anschauen, ob es vieleicht über die Patch Funktion aktualisierbar ist?
CVE-2025-68461
https://www.cve.org/CVERecord?id=CVE-2025-68461

Auch wenn es nicht direkt Keyhelp betrifft oder keine Auswirkung hat, sieht es für einen User beunruhigend aus bei diesem CVE Score (HIGH).

MichaelS wrote: ↑Mon 23. Feb 2026, 09:12 https://www.heise.de/news/Roundcube-Web ... 85535.html

Dazu ist ein gültiges Mailkonto nötig.

Also entweder eure Kunden treiben den Unsinn selbst oder wurden ihrerseits wegen zu schwacher Passwörter gehackt.
Aber ohne gültiges Mailkonto (E-Mail-Adresse und Passwort) kann der Angriff wohl nicht erfolgen.

Tobi wrote: ↑Mon 23. Feb 2026, 09:16 Aber ohne gültiges Mailkonto (E-Mail-Adresse und Passwort) kann der Angriff wohl nicht erfolgen.

Nach meinem Verständnis gilt das für eine der beiden geschlossenen Lücken. Bei der anderen reicht es aus eine E-Mail mit einer präparierten SVG-Datei zu öffnen.

Ich sehe das Risiko bei mir jetzt auch eher als moderat, finde aber gleichzeitig einen Patch sinnvoll.

Na klar, der Patch wird definitiv kommen.
Alex hat auch die ganzen CVE-Listen der diversen Drittanbieter-Lösungen innerhalb von KeyHelp voll im Blick.
Eigentlich braucht es da keine Community-Reminder.

Denn Meldungen wie diese könnten Teile der KeyHelp-Community verunsichern.

Tobi wrote: ↑Mon 23. Feb 2026, 10:05 Na klar, der Patch wird definitiv kommen.
Alex hat auch die ganzen CVE-Listen der diversen Drittanbieter-Lösungen innerhalb von KeyHelp voll im Blick.
Eigentlich braucht es da keine Community-Reminder.
Denn Meldungen wie diese könnten Teile der KeyHelp-Community verunsichern.

Hallo Tobi, der CVE Score könnte Teile der KeyHelp-Community ebenfalls verunsichern, der ist aber jetzt nunmal da, ob es relevant ist oder nicht
Aber ich gebe Dir Recht, bezgl. Password phishing, da gibt es weitaus bessere und einfache Methoden und eben die Mega Listen von gehackten Accounts und Posfächern von externen Anbietern etc.
In der Meldung der CISA wurden allerdings auch einige techn. Details zwecks Schadensbegrenzung ausgelassen (darauf wird hingewiesen) ...
Also ich vertraue Alex auf jeden Fall und ich zweifele Deine Aussage auch nicht an, es ist nur so wenn ein Kundenkonto gehackt wird, ist es in den meisten Fällen so dass der Kunde erstmal die Schuld auf den Anbieter schiebt ... dabei könnte ein Kunde die veraltete Anwendung mit dem CVE anprangern.

Patch ist live.

Zum installieren: Konfiguration -> Patch-Manager

Alexander wrote: ↑Mon 23. Feb 2026, 15:26 Patch ist live.

Zum installieren: Konfiguration -> Patch-Manager

Cool, ist der neu oder habe ich den immer übersehen?

Der kam mit 25.1, bisschen länger als ein halbes Jahr her.

Wenn System noch auf KH 25.1 läuft, ist der Patch nicht erhältlich?
Der war/ist nicht ersichtlich und RC läuft noch auf 1.6.11
Hab im PatchManager nur das JS Update ersichtlich von 06/25

Du schreibst aber der kam mit 25.1 - integriert u. daher dort gar nicht mehr ersichtlich?
Sonst muss ich demnächst auf KH 25.3 od. RC manuell updaten.


Hatte dies aus irgendein Grund noch ausgelassen od. gewartet, muss ich nochmal schauen.
(glaub wegen SpamAssassin, da ich noch nicht auf Rspamd wechseln wollte, falls das erzwungen war)

Ich hatte den Patch nur für die aktuelle Version veröffentlicht.

Der Wechsel von SpamAssassin (etc.) zu Rspamd geschieht nicht über ein reguläres Update, sondern nur durch Dist-Upgrade oder Neuinstallation auf entsprechender OS-Version (Debian 12+, Ubuntu 24+).