Revenir aux alertes

Bulletin d'alerte

Vulnérabilité dans Roundcube

février 2026

Résumé

Le 20 février 2026, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a averti d’une faille de sécurité dans Roundcube Webmail, un outil open-source populaire pour consulter ses emails via un navigateur web.

Référencée sous CVE-2025-49113, cette vulnérabilité est une désérialisation de données non fiables (CWE-502) dans le fichier program/actions/settings/upload.php.

Solutions

Il est recommandé d’appliquer les correctifs indiqués par Roundcube : mettez à jour vers la version 1.5.10 (pour la branche 1.5.x) ou 1.6.11 (pour la branche 1.6.x) ou ultérieure.

La faille est activement exploitée : Oui

Details techniques

Score CVSS : 9.9/10 (critique)

EPSS : 0,8424

Systèmes affectés

• Roundcube Webmail versions 1.5.x antérieures à 1.5.10
• Roundcube Webmail versions 1.6.x antérieures à 1.6.11

Documentation

Nist Details CVE
https://nvd.nist.gov/vuln/detail/CVE-2025-49113

CVE Details
https://www.cvedetails.com/cve/CVE-2025-49113/

Reference CVE
https://www.cve.org/CVERecord?id=CVE-2025-49113

CWE
https://www.cvedetails.com/cwe-details/CWE-502

Signaler un incident de sécurité en remplissant ce formulaire. Notre équipe vous recontactera dans les plus brefs délais.

« * » indique les champs nécessaires

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.
RGPD*