Spett.le Visitatore,

informiamo che su tutti i nostri server è stato aggiornato il software webmail Roundcube - su cui è basato "netMail" - all'ultima versione: 1.6.11 per una vulnerabilità di livello "critical" ed impatto sistemico 64.35/100,

Si tratta quindi di un importante aggiornamento di sicurezza in quanto le versioni precedenti la 1.6.11 - come pubblicato solo da poche ore - possono essere colpite da attacchi ID (Information disclosure) ed XSS (Cross Site Scripting).

 Information Disclosure (ID)

Cos’è

Un problema di sicurezza che permette a persone non autorizzate di visualizzare informazioni riservate.

Cosa può essere esposto

dati dei clienti

email, nomi, indirizzi

configurazioni del sistema

credenziali o informazioni interne

Rischio

Violazione della privacy, possibile uso fraudolento dei dati e danni reputazionali.

L'accesso al Netmail è comunque sempre soggetto a doppia autenticazione (protezione con HTTP_AUTHENTICATION), per cui anche la recente vulnerabilità non sarebbe stata esposta anche in caso di mancato aggiornamento.

Riferimenti

 CVE-2025-49113

Roundcube Webmail before 1.5.10 and 1.6.x before 1.6.11 allows remote code execution by authenticated users because the _from parameter in a URL is not validated in program/actions/settings/upload.php, leading to PHP Object Deserialization

Tale vulnerabilità, qualora sfruttata su sistemi non aggiornati, potrebbe consentire l’elusione dei meccanismi di sicurezza e fuga di dati.