Le 1^ᵉʳ juin, Roundcube annonçait les versions 1.6.11 et 1.5.10 de son client e-mail web. Elles venaient corriger une vulnérabilité critique particulièrement sévère. Estampillée CVE-2025-49113, cette faille affichait en effet un score CVSS de 9,9/10. Elle avait également fait l’objet d’un bulletin d’alerte du CERT-FR.

Ce bulletin a été mis à jour le 6 juin pour indiquer qu’une preuve de concept (PoC) était publiquement disponible. La faille découverte existait en effet déjà depuis 10 ans et était passée sous les radars. En outre, comme l’indiquait Bleeping Computer le 5 juin, le correctif a été analysé et « désossé », permettant l’exploitation de la faille et la commercialisation d’une exploitation, vendue jusqu’à 50 000 dollars sur certains forums.

La somme peut paraître importante pour une faille déjà corrigée, mais son potentiel est grand. Exploitée, elle peut permettre une exécution de code arbitraire à tout utilisateur authentifié sur le serveur. Surtout, les pirates peuvent compter sur l’inertie habituelle pour les mises à jour. En somme, se jeter sur les serveurs n’ayant pas installé la version 1.6.11 ou 1.5.10 de Roundcube.

Bien que la preuve d’exploitation circule depuis quelques jours seulement, la présence de cette faille dans le code depuis 10 ans a pu mener à des piratages dans le passé. La vulnérabilité est actuellement considérée comme extrêmement sérieuse, au point d’avoir été surnommée « l'armageddon du courrier électronique ». Il est donc conseillé de mettre à jour Roundcube aussi rapidement que possible.