Vulnerabilitate „zero-click" în Roundcube: un simplu email îți putea compromite webmailul. cPanel a livrat patch-ul în 9 zile
Un singur email. Niciun click. Și codul unui atacator rulează în contul tău de webmail. Cam asta descrie CVE-2026-54433, o vulnerabilitate „zero-click" descoperită în Roundcube — cel mai folosit webmail open-source și, mai important pentru tine, cel livrat implicit în cPanel.
Ce s-a întâmplat, pe scurt
Pe 5 iulie 2026, proiectul Roundcube a publicat versiunile de securitate 1.6.17 și 1.7.2, care repară două vulnerabilități de tip stored XSS raportate de cercetătorul Bohdan Kurinnoy (Samsung R&D Institute Ukraine). Cea gravă, CVE-2026-54433, are scor CVSS 7.2 (High) și e „zero-click": codul atacatorului rulează în sesiunea ta autentificată doar prin deschiderea sau previzualizarea unui email malițios în text simplu. A doua, CVE-2026-54432 (scor 4.7, mediu), ține de tipul MIME al unui atașament și necesită interacțiune.
Câteva precizări, ca să nu intri în panică inutil: e o vulnerabilitate gravă (High), nu „critică", cum au titrat unele site-uri; „zero-click" înseamnă „fără click", dar victima tot trebuie să deschidă emailul într-o sesiune Roundcube vulnerabilă; și, la momentul redactării, nu există dovezi de exploatare activă (aceste CVE-uri nu sunt în catalogul CISA al vulnerabilităților exploatate — cele de acolo sunt Roundcube-uri mai vechi, din 2025).
De ce te privește chiar dacă n-ai auzit de Roundcube
Pentru că, dacă ai găzduire pe cPanel, Roundcube e cel mai probabil webmailul tău implicit — chiar dacă nu i-ai reținut niciodată numele. Asta înseamnă că, la scara pieței de shared hosting, milioane de conturi au fost potențial expuse. Vulnerabilitatea atinge și DirectAdmin, HestiaCP, Plesk sau instalările Roundcube auto-găzduite. Riscul concret: furtul sesiunii și accesul la căsuța ta de email, doar trimițându-ți cineva un mesaj.
Cât de repede a ajuns fix-ul la găzduire
Aici e vestea bună. Pe 14 iulie 2026, cPanel a livrat build-ul 134.0.45, care actualizează Roundcube la 1.6.17 și menționează explicit ambele CVE-uri — la 9 zile după patch-ul din amonte. E un ritm sănătos, „la program, nu în panică", potrivit changelog-ului oficial cPanel. Pentru comparație, DirectAdmin a fost mai lent (fix-ul e legat de versiunea 1.706).
Ce să faci, în funcție de tipul găzduirii
- Shared / găzduire administrată (cPanel): de regulă furnizorul aplică update-ul automat. Confirmă doar că serverul rulează build ≥ 134.0.45 (Roundcube 1.6.17).
- VPS sau server dedicat cu cPanel, administrat de tine: rulează update-ul la ≥ 134.0.45 sau actualizează manual Roundcube.
- Roundcube auto-găzduit (fără panou): actualizează imediat la 1.6.17 (versiunea LTS) sau 1.7.2.
Trei întrebări utile pentru furnizorul tău: „Ați aplicat cPanel build 134.0.45 / Roundcube 1.6.17 pe serverul meu?", „Ce versiune de Roundcube rulează contul meu?" și „Aveți patching automat de securitate pentru webmail?".
Foarte important: sfatul general „dezactivează previzualizarea HTML a emailurilor" nu te protejează aici, pentru că defectul e în randarea textului simplu, nu a celui HTML. Singura remediere reală e actualizarea.
Nu e prima oară când o problemă din infrastructura de găzduire ajunge să te privească direct. Vezi și vulnerabilitatea critică cPanel din aprilie și problema WHMCS din client area — aceeași concluzie: întreabă-ți furnizorul și cere confirmări concrete.
Rămâi la curent cu noutățile
Un email pe săptămână cu cele mai importante știri din tech, hosting, AI și marketing digital — selectate și rezumate de echipa HostPedia.
Fără spam, fără surprize. Te poți dezabona cu un singur click, oricând.