文章总结: RoundcubeWebmail的virtuserquery插件存在预认证SQL注入漏洞(CVE-2026-48842),影响1.6.x至1.6.15及1.7.0版本。攻击者可在未登录状态下利用pregreplace()函数的e修饰符缺陷绕过反斜杠转义,注入任意SQL命令,导致用户名、邮件配置等敏感数据泄露。建议用户立即升级至1.6.16或1.7.1版本以修复漏洞。 综合评分: 75 文章分类: 漏洞分析,WEB安全
CVE-2026-48842|Roundcube Webmail插件SQL注入漏洞
alicy alicy
信安百科
2026年6月8日 09:00 河北
在小说阅读器读本章
去阅读
0x00 前言
Roundcube Webmail是一个开源的基于web的电子邮件客户端,旨在提供用户友好的界面和强大的功能,使用户能够通过web浏览器方便地访问和管理他们的电子邮件。
Roundcube支持标准的邮件协议(如IMAP和SMTP),并提供了许多常见的邮件功能,如收发邮件、管理联系人、创建日历事件等。其界面简洁直观,易于使用,同时还支持插件扩展,用户可以根据自己的需求定制功能。
Roundcube Webmail被广泛应用于个人用户、企业和组织,为他们提供了一个方便、安全的电子邮件管理解决方案。
0x01 漏洞描述
该漏洞是Roundcube Webmail中virtuser_query插件存在的一个预认证SQL注入漏洞。漏洞根源在于preg_replace()函数的反斜杠转义绕过机制被攻击者利用。
攻击者可以在未登录的情况下,通过构造恶意的SQL语句片段,利用preg_replace()函数的特殊处理逻辑,绕过反斜杠转义保护,向数据库查询注入任意SQL命令。此漏洞可能导致敏感数据泄露,包括用户名、邮件配置信息、邮件元数据等数据库内容。
0x02 CVE编号
CVE-2026-48842
0x03 影响版本
Roundcube Webmail 1.6.x (1.6.0 至 1.6.15)Roundcube Webmail 1.7.x (1.7.0)
0x04 漏洞详情
漏洞代码位于plugins/virtuser_query/virtuser_query.php文件中。在user2email、email2user、user2host和alias2user等函数中,使用preg_replace()将用户输入替换到SQL查询模板中。
问题在于preg_replace()函数的e修饰符(已废弃但仍可使用)允许执行代码,且反斜杠转义机制存在缺陷。攻击者可以通过构造特殊的输入绕过转义,向SQL查询中注入恶意代码。
0x05 参考链接
https://roundcube.net/news/2026/05/24/security-updates-1.6.16-and-1.7.1
推荐阅读:
CVE-2025-49113|Roundcube Webmail反序列化漏洞(POC)
CVE-2024-42009|Roundcube Webmail跨站脚本漏洞
CVE-2025-55182|React/Next.js远程代码执行漏洞(POC)
Ps:国内外安全热点分享,欢迎大家分享、转载,请保证文章的完整性。文章中出现敏感信息和侵权内容,请联系作者删除信息。信息安全任重道远,感谢您的支持!!!
本公众号的文章及工具仅提供学习参考,由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害,均由使用者本人负责,本公众号及文章作者不为此承担任何责任。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:信安百科 alicy alicy《CVE-2026-48842|Roundcube Webmail插件SQL注入漏洞》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论