Roundcube đã phát hành phiên bản 1.7 để vá sáu lỗ hổng bảo mật, bao gồm hai lỗ hổng Cross-Site Scripting (XSS) lưu trữ nghiêm trọng yêu cầu không có tương tác người dùng để khai thác. Phiên bản cập nhật này giải quyết các vấn đề được phát hiện bởi các nhà nghiên cứu và đi kèm với khuyến nghị mạnh mẽ về việc triển khai ngay lập tức trên các môi trường sản xuất.
Lỗ hổng XSS Nghiêm trọng trong Roundcube 1.7
CVE-2026-54432: XSS Lưu trữ qua Kiểu MIME Tệp Đính Kèm
Vấn đề nghiêm trọng nhất, được theo dõi là CVE-2026-54432, liên quan đến một lỗ hổng XSS lưu trữ được kích hoạt bởi kiểu MIME của tệp đính kèm không được thoát, hiển thị trên trang cảnh báo xác thực tệp đính kèm. Kẻ tấn công có thể tạo một chuỗi kiểu MIME độc hại, khi được hiển thị mà không được làm sạch đúng cách, sẽ thực thi mã JavaScript tùy ý trong phiên của nạn nhân.
Do tải trọng tấn công được kích hoạt khi trang cảnh báo tải, không cần hành động nhấp hoặc tải xuống, điều này biến nó thành một vector tấn công zero-click thực sự. Lỗ hổng này có thể dẫn đến việc chiếm quyền điều khiển phiên hoặc đánh cắp thông tin đăng nhập. Mức độ nghiêm trọng cao của lỗ hổng này đòi hỏi sự chú ý khẩn cấp.
CVE-2026-54433: XSS Lưu trữ qua Trình kết xuất Văn bản thuần trong Email
Một lỗ hổng tương tự, CVE-2026-54433, ảnh hưởng đến trình kết xuất văn bản thuần của Roundcube. Lỗ hổng XSS lưu trữ zero-click này cho phép kẻ tấn công chèn mã độc vào email. Mã độc này sẽ thực thi một cách im lặng khi nạn nhân chỉ đơn giản xem một tin nhắn ở chế độ văn bản thuần, bỏ qua các dấu hiệu trực quan mà người dùng thường dựa vào để phát hiện nội dung đáng ngờ.
Cả hai lỗ hổng này đều được báo cáo bởi các nhà nghiên cứu bảo mật, nhấn mạnh sự quan tâm liên tục đến các nền tảng webmail như các mục tiêu giá trị cao cho việc đánh cắp thông tin đăng nhập và chiếm quyền điều khiển phiên.
Các Lỗ hổng Bảo mật Khác Được Vá
Ngoài hai lỗ hổng XSS nghiêm trọng, Roundcube 1.7 cũng giải quyết các vấn đề sau:
- Một lỗ hổng SQL Injection trong chức năng tìm kiếm.
- Một lỗ hổng Cross-Site Request Forgery (CSRF) cho phép kẻ tấn công thực hiện các hành động không mong muốn dưới danh nghĩa người dùng.
- Một lỗ hổng lộ thông tin trong xử lý tệp đính kèm.
- Một lỗ hổng thực thi mã từ xa thông qua việc xử lý các tệp cấu hình bị nhiễm độc.
Việc vá các lỗ hổng CVE này là rất quan trọng để duy trì tính toàn vẹn và bảo mật của hệ thống email.
Cải Thiện Tính Ổn Định và Khắc Phục Lỗi
Bên cạnh các bản vá bảo mật, bản phát hành này còn bao gồm một số bản sửa lỗi ổn định:
- Xử lý yêu cầu HEAD đúng cách trong
static.php. - Sửa logic truy xuất claim mật khẩu OAuth.
- Giải quyết lỗi 416 trên các yêu cầu Range cụ thể.
- Sửa lỗi tải logo skin bị hỏng.
- Giải quyết lỗi nhập vCard 2.1.
- Khắc phục rò rỉ tệp tạm thời Imagick khi xảy ra lỗi.
- Sửa lỗi cập nhật session quá mức dưới cấu hình Redis/Memcache.
Những cải tiến này góp phần vào sự ổn định tổng thể và hiệu suất của ứng dụng.
Khuyến Nghị Cập Nhật Khẩn Cấp
Do bản chất zero-click của cả hai lỗ hổng XSS, các tổ chức sử dụng Roundcube nên ưu tiên bản cập nhật này hơn các chu kỳ vá lỗi thông thường. Kẻ tấn công khai thác CVE-2026-54432 hoặc CVE-2026-54433 có thể đạt được việc chiếm quyền điều khiển phiên, đánh cắp thông tin xác thực hoặc truy cập trái phép vào hộp thư mà không cần bất kỳ tương tác nào của nạn nhân ngoài việc xem email thông thường.
Tư vấn của Roundcube ([https://github.com/roundcube/roundcubemail/releases/tag/1.7.2](https://github.com/roundcube/roundcubemail/releases/tag/1.7.2)) đặc biệt khuyến nghị cập nhật tất cả các cài đặt sản xuất và thực hiện sao lưu dữ liệu đầy đủ trước khi áp dụng bản vá. Các quản trị viên quản lý các phiên bản webmail tự lưu trữ, đặc biệt là những phiên bản được tiếp xúc với người dùng bên ngoài, nên coi đây là một mục hành động khẩn cấp, do rào cản thấp đối với việc khai thác mà các lỗ hổng này mang lại.
Việc áp dụng các bản vá bảo mật mới nhất là một phần quan trọng của chiến lược an ninh mạng toàn diện. Việc bỏ qua các cập nhật này có thể tạo ra các mối đe dọa mạng đáng kể cho tổ chức.










