Résumé
Le 20 février 2026, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a averti d’une faille de sécurité dans Roundcube Webmail, un outil de messagerie web couramment utilisé.
Référencée sous CVE-2025-68461, cette vulnérabilité est une injection de code croisée (XSS) qui se manifeste via une balise « animate » dans un document SVG. Un attaquant non authentifié peut injecter du code malveillant exécuté dans le navigateur de la victime, compromettant la confidentialité et l’intégrité des données (comme voler des cookies ou des mots de passe).
Solutions
Il est recommandé d’appliquer les correctifs indiqués par Roundcube : mettez à jour vers la version 1.5.12, 1.6.12 ou ultérieure.
Details techniques
Score CVSS : 7.2 (élevé)
Systèmes affectés
• Roundcube Webmail versions 1.5.x antérieures à 1.5.12
• Roundcube Webmail versions 1.6.x antérieures à 1.6.12
Documentation
Référence :
https://roundcube.net/news/2025/12/13/security-updates-1.6.12-and-1.5.12
Nist Details CVE
https://nvd.nist.gov/vuln/detail/CVE-2025-68461
CVE Details
https://www.cvedetails.com/cve/CVE-2025-68461/
Reference CVE
https://www.cve.org/CVERecord?id=CVE-2025-68461
CWE
https://www.cvedetails.com/cwe-details/CWE-79