Résumé
Le 10 juin 2025, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a averti d’une faille de sécurité dans Roundcube Webmail, un client de messagerie web open source très utilisé.
Référencée sous CVE-2024-42009, cette faille permet à un attaquant distant, via un simple e-mail spécialement conçu, de voler les e-mails d’une victime et d’envoyer des messages en se faisant passer pour elle. Cette vulnérabilité exploite une erreur de traitement dans le code de gestion des messages (fonction message_body() dans show.php), ce qui permet l’exécution de scripts malveillants dans le navigateur de la victime.
Solutions
Il est fortement recommandé de mettre à jour Roundcube vers les versions 1.5.8 ou 1.6.8 (ou ultérieures) qui corrigent cette faille. En attendant, il est conseillé de limiter l’ouverture et l’interaction avec des e-mails provenant de sources inconnues ou non vérifiées
La faille est activement exploitée : Oui
Details techniques
Score CVSS : 9.3
Risques : Vol de données confidentielles (e-mails, contacts), usurpation d’identité pour envoyer des e-mails frauduleux au nom de la victime, compromission de la session utilisateur.
Systèmes affectés
- Roundcube Webmail versions 1.5.x antérieures à 1.5.8
- Roundcube Webmail versions 1.6.x antérieures à 1.6.8
Documentation
- Bulletin de sécurité de RoundCube
https://roundcube.net/news/2024/08/04/security-updates-1.6.8-and-1.5.8
- Nist Details CVE
https://nvd.nist.gov/vuln/detail/CVE-2024-42009
- CVE Details
https://www.cvedetails.com/cve/CVE-2024-42009/
- Reference CVE
https://www.cve.org/CVERecord?id=CVE-2024-42009
- CWE