Le 18 septembre 2023, Roundcube a publié un bulletin de sécurité concernant une vulnérabilité dans son produit Roundcube Webmail.
Cette faille, découverte par le chercheur en sécurité Niraj Shivtarkar, est due à un défaut de traitement des linkrefs dans le fichier program/lib/Roundcube/rcube_string_replacer.php. Elle permet à un attaquant distant et non authentifié d’injecter du code indirect (XSS) interprété par le serveur mail.
Le CISA a intégré cette vulnérabilité dans sa base de données Known Exploited Vulnerabilities (KEV) le 12 février 2024.