Zaktualizuj Roundcube teraz. Wersje 1.6.16 i 1.7.1 naprawiają osiem podatności bezpieczeństwa, kilka z nich wymaga zero uwierzytelnienia. Instalacje które nie używają wtyczki virtuser_query nie są dotknięte przez podatność SQL injection — ale są dotknięte przez pozostałe sześć klas błędów.
24 maja Roundcube wydało aktualizację bezpieczeństwa. CERT Polska wydało komunikat 28 maja. Oba dokumenty opisują osiem podatności — XSS, SQL injection, SSRF, wstrzyknięcie kodu, usunięcie pliku przed uwierzytelnieniem.
Ale jest jeden element w komunikacie CERT Polska który odróżnia go od standardowego "zaktualizuj oprogramowanie": CERT Polska zaznacza wprost, że w przeszłości podobne podatności w Roundcube były wykorzystywane do przejmowania skrzynek pocztowych i wykradania historii korespondencji, odsyłając do udokumentowanej kampanii UNC1151. Cryptika
UNC1151 to grupa powiązana z Białorusią i Rosją, dokumentowana przez Mandiant i CERT Polska. W kampanii z 2025 roku używała podatności w Roundcube do przejmowania skrzynek pocztowych ukraińskich urzędników, dziennikarzy i organizacji pozarządowych. Wektor: spreparowany email z ładunkiem XSS — otworzysz wiadomość, Roundcube wykonuje złośliwy JavaScript w kontekście zalogowanej sesji, atakujący przejmuje dostęp.
Ten link w komunikacie CERT Polska mówi więcej niż sam opis podatności: Roundcube nie jest tylko kolejnym klientem poczty z błędami. Jest powtarzającym się celem operacji szpiegowskich właśnie dlatego że jest popularny w środowiskach rządowych, samorządowych i organizacji pozarządowych — i właśnie dlatego że webmail to miejsce gdzie siedzi cała historia korespondencji.
Osiem podatności, dwie które nie wymagają konta
Lista poprawek obejmuje: stored XSS i HTML/CSS injection w polu tematu dialogu przywracania szkicu; bypass wstrzyknięcia CSS w sanitizerze HTML przez element SVG <animate>; pre-auth SQL injection we wtyczce virtuser_queryprzez bypass znaku ucieczki w preg_replace; bypass SSRF przez lokalne adresy URL; bypass blokowania zdalnych zasobów; bypass blokowania zdalnych obrazów przez zmienne CSS var(); pre-auth usunięcie dowolnego pliku przez zatrucie sesji Redis/Memcache; wstrzyknięcie kodu przez opcję LDAP autovalues. Synapsint
Dwie z ośmiu nie wymagają żadnego uwierzytelnienia: SQL injection we wtyczce virtuser_query i usunięcie dowolnego pliku przez zatrucie sesji. Pre-auth SQL injection dotyczy wyłącznie instalacji używających wtyczki virtuser_query — nie jest to błąd w silniku głównym. Instalacje nieużywające tej wtyczki nie są narażone na ten konkretny CVE. Security Boulevard
Pozostałe sześć wymaga interakcji użytkownika — otwarcia maila, podglądu załącznika. W kontekście spear-phishingu używanego przez UNC1151 i podobne grupy: to jest różnica bez znaczenia operacyjnego. Atakujący wysyła spreparowanego maila. Ofiara go otwiera. Exploit działa.
Dlaczego webmail jest wartościowym celem
Dowolny atakujący który może dostarczyć wiadomość email do skrzynki Roundcube może wyzwolić SSRF przy jednej interakcji użytkownika. Skutki obejmują rekonesans sieci wewnętrznej — sondowanie usług przypiętych do loopback lub wewnętrznych hostów VPC, wykradanie danych uwierzytelniających chmury. Recon Bee
To jest właśnie ten wzorzec który UNC1151 stosowała w 2025 roku: email jako wektor wejścia do sieci wewnętrznej. Nie przez exploitowanie VPN, nie przez podatność w firewallu — przez klienta pocztowego który ma dostęp do wszystkiego za nim bo jest narzędziem używanym codziennie przez każdego pracownika.
Organizacje rządowe i samorządowe w Polsce używające Roundcube — sprawdź wersję dziś. Nie w przyszłym tygodniu.
Źródła
CERT Polska — komunikat 81/2026 z linkiem do kampanii UNC1151: https://moje.cert.pl/komunikaty/2026/81/podatnosci-w-kliencie-pocztowym-roundcube/
Roundcube — pełna lista poprawek w wersjach 1.6.16 i 1.7.1: https://roundcube.net/news/2026/05/24/security-updates-1.6.16-and-1.7.1
GBHackers — analiza techniczna SQL injection i łańcucha eksploitacji: https://gbhackers.com/roundcube-webmail-vulnerability-execute-malicious-sql-queries/
CERT Polska — kampania UNC1151 z 2025 roku przez Roundcube: https://cert.pl/posts/2025/06/unc1151-kampania-roundcube/
Nie nowy atak, tylko naprawiony błąd. Co łatka Gemini CLI mówi o tym, że tryb –yolo w potoku CI/CD to nie jest dobry pomysł