Une vulnérabilité majeure touche le client de messagerie Roundcube, beaucoup utilisé par les hébergeurs web. Voilà qui est suffisant pour justifier une alerte lancé par le CERT-FR, l'équipe de réponse aux incidents de l'ANSSI.
Une faille de sécurité critique a très récemment été découverte dans Roundcube, vulnérabilité qui met en péril de nombreux d'utilisateurs à travers le monde. L'alerte, publiée par le CERT-FR (ANSSI) jeudi en France, révèle une faille particulièrement préoccupante, qui permet à des pirates d'exécuter du code malveillant sur les serveurs de messagerie. Fort heureusement, une solution existe !
Roundcube expose ses utilisateurs à une vulnérabilité critique
Le problème pointé du doigt par les équipes de l'ANSSI, l'agence française cyber, touche toutes les versions de Roundcube antérieures à 1.5.10 et 1.6.11. Le client de messagerie open source équipe d'innombrables services de messagerie, notamment via cPanel et Plesk, deux acteurs de l'hébergement web. La surface d'attaque est donc considérable, touchant potentiellement des dizaines de milliers d'entreprises et particuliers.
La vulnérabilité, référencée CVE-2025-49113, exploite une faiblesse dans la validation du paramètre « _from » du fichier upload.php. Concrètement, un utilisateur authentifié peut manipuler ce paramètre pour déclencher une désérialisation d'objets PHP non sécurisée.
La désérialisation (deserialization en anglais), est un terme technique qui décrit le processus de reconstruction d'objets à partir de données sérialisées, et qui peut être exploité de manière malveillante si mal sécurisé. La faille présente dans ces versions de Roundcube permettent en tout cas d'exécuter du code arbitraire à distance sur le serveur concerné.
Plus inquiétant encore, une preuve de concept est désormais publiquement disponible depuis le 6 juin. Cette publication accélère dangereusement la course contre-la-montre contre les cybercriminels qui disposent maintenant d'un mode d'emploi détaillé pour exploiter cette faille. Le CERT-FR évoque d'ailleurs « la disponibilité imminente de codes d'exploitation » dans son bulletin d'alerte.
Mise à jour urgente recommandée pour sécuriser votre messagerie
L'éditeur Roundcube a réagi rapidement en publiant les versions correctives 1.5.10 et 1.6.11 dès le 1er juin. Ces mises à jour colmatent la brèche de sécurité et restaurent l'intégrité des systèmes. Néanmoins, leur déploiement reste tributaire de la réactivité des administrateurs systèmes et des hébergeurs web concernés.
L'agence française de cybersécurité ne mâche pas ses mots dans sa recommandation. Elle « recommande fortement de mettre à jour dans les plus brefs délais au vu du nombre important de produits exposés ». La formulation, presque inhabituelle, témoigne de la gravité de la situation. Avec une multitude de serveurs potentiellement exposés, chaque heure de retard multiplie les risques d'exploitation.
Pour les utilisateurs finaux, la vigilance s'impose aussi. Si votre fournisseur de messagerie utilise Roundcube, vérifiez que les correctifs ont bien été appliqués. En cas de doute, n'hésitez pas à contacter votre hébergeur pour connaître le statut des mises à jour. Cette faille rappelle une fois de plus l'importance cruciale de maintenir ses systèmes à jour.
