Roundcube Webmail, le client de messagerie basé sur le Web qui est avec des millions de serveurs depuis des années et qui depuis 2008 a été intégré comme interface par défaut dans cPanel, a de nouveau été placé au centre de l'attention pour des raisons que tout gestionnaire de système devrait prendre au sérieux. La United States Infrastructure and Cybersecurity Agency (CISA) a récemment ajouté deux défaillances de Roundcube à son catalogue de vulnérabilités exploitées par la nature et a donné des instructions strictes aux organismes fédéraux d'appliquer d'urgence des correctifs.
La première défaillance notée permet l'exécution de code à distance et est enregistrée comme CVE-2025-49113. Les responsables de Roundcube l'ont patchée, mais des chercheurs et des organismes de surveillance ont détecté l'exploitation peu après la publication de la correction, ce qui a motivé les alertes publiques sur des dizaines de milliers d'installations exposées. Le deuxième problème, CVE-2025-68461, est une vulnérabilité de l'inscription intersite (XSS) qui abuse de l'étiquette animée dans les documents SVG et qui a également patch disponible à partir des versions que Roundcube publié pour corriger.
Pour contextualiser l'ampleur du risque : les moteurs de recherche orientés vers des appareils connectés à Internet tels que Shodan montrent des dizaines de milliers d'instances Roundcube accessibles depuis le réseau public - un chiffre qui indique l'énorme portée potentielle de toute vulnérabilité critique dans ce logiciel. Voir la recherche publique de Shodan relative à Roundcube Voilà..
La CISA a officialisé la préoccupation dans un signalement officiel dans lequel elle a inclus les deux défaillances dans son communication publique et ajouté les rubriques Un catalogue de vulnérabilités connues et exploitées (KEV), une liste que l'agence utilise pour prioriser les actions défensives dans le secteur public. En outre, la CISA a rappelé qu'il y a d'autres vulnérabilités historiques dans Roundcube qui ont été exploitées par des acteurs malveillants, et c'est pourquoi elle a inclus cette famille d'échecs dans son suivi continu.
La réponse du gouvernement fédéral a été rapide sur le plan de la demande : par la directive opérationnelle contraignante appelée BOD 22-01 Les organismes civils fédéraux ont reçu l'ordre de prendre les mesures d'atténuation nécessaires dans un délai de trois semaines. Cette hâte n'est pas occasionnelle : les vulnérabilités dans les interfaces de courrier Web sont attrayantes pour les criminels et les groupes parrainés par l'État parce qu'ils offrent un accès relativement direct aux conversations et aux références, et parce que de nombreuses installations restent exposées pendant de longues périodes.
Les responsables de Roundcube ont publié des corrections que les organisations doivent adopter le plus tôt possible; les versions correctrices des succursales soutenues sont disponibles sur les canaux officiels de projet et dans les dépôts de lancement. Si vous gérez des serveurs Roundcube, il est essentiel de mettre à jour les versions qui incluent les correctifs, d'examiner les enregistrements pour un accès non autorisé possible et de minimiser l'exposition publique de l'interface dans la mesure du possible. Le dépôt de lancement du projet à GitHub est disponible pour accéder aux publications et aux versions officielles: Coupe ronde - Rejets.
Ce n'est pas la première fois que Roundcube a servi de vecteur pour des campagnes sophistiquées. Historiquement, les acteurs ayant des motivations politiques ou criminelles ont exploité les échecs de ce logiciel pour espionner les administrations et les organisations. Ce schéma - échec public, patch et fonctionnement en quelques jours - met en évidence une réalité simple mais douloureuse : la fenêtre entre la publication d'un patch et son déploiement effectif reste la principale faiblesse de la sécurité de nombreuses infrastructures.
D'un point de vue pratique, mettre à jour le plus rapidement possible est la mesure essentielle. En outre, il convient de renforcer l'exposition des interfaces de courrier Web au moyen de règles d'accès, d'une forte authentification, d'une surveillance des journaux et d'une analyse des indicateurs d'engagement. Il est également recommandé que les responsables de la sécurité consultent les sources officielles de renseignement et les catalogues, comme la liste de la CISA mentionnée ci-dessus, afin de hiérarchiser les actions en fonction du risque réel et de la présence du logiciel dans leur environnement.
La leçon que laisse cet épisode est claire: même des outils largement déployés et de longue date peuvent devenir un risque systémique si les mises à jour ne sont pas appliquées rapidement et si la télémétrie sur leur exposition n'est pas intégrée dans les processus de sécurité. Garder le logiciel à jour, réduire la surface exposée et surveiller activement les environnements sont pratiques qui font ensemble la différence entre un patch protégé et un patch qui vient trop tard.
Sources recommandées et lectures : entrée de la CISA sur l'inclusion de ces vulnérabilités dans son catalogue Voilà., détails techniques à la base de données nationale sur la vulnérabilité CVE-2025-49113 et CVE-2025-68461, la recherche publique de Roundcube Shodan et le dépôt officiel de lancement de Roundcube C'est pas vrai..
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...