[Sécurité] Vulnérabilités Roundcube - Mise à jour 1.6.13 disponible (CERTFR-2026-AVI-0133)

djez · February 10, 2026, 10:14am

What app is this about, and its version: Roundcube 1.6.12~ynh1
What YunoHost version are you running: 12.1.39 (stable)
What type of hardware are you using: Virtual machine

Describe your issue

Bonjour,

Le CERT-FR a publié hier un avis de sécurité concernant Roundcube : CERTFR-2026-AVI-0133

Vulnérabilités :

Contournement de la politique de sécurité
Exécution de code arbitraire à distance

Versions affectées :

Roundcube 1.5.x < 1.5.13
Roundcube 1.6.x < 1.6.13

Versions corrigées : 1.5.13 et 1.6.13 (publiées le 8 février 2026)

Détail des correctifs :

Correction d’une vulnérabilité d’injection CSS (rapportée par CERT Polska)
Correction d’un contournement du blocage des images distantes via du contenu SVG (rapportée par nullcathedral)

Source éditeur : Security updates 1.6.13 and 1.5.13 released

Ma config :

App : Roundcube 1.6.12~ynh1
YunoHost : 12.1.39 (stable)
Hardware : VM (Proxmox)

Je poste ici pour signaler ces vulnérabilités à la communauté et aux mainteneurs. La mise à jour du paquet YunoHost est-elle prévue rapidement ?

Merci !

Share relevant logs or error messages

NA

microniko · February 11, 2026, 6:20am

Bonjour,

En voulant mettre Roundcube à jour, j’obtient une erreur :

https://paste.yunohost.org/raw/nebiwiwuje

Merci !

ericg · February 11, 2026, 11:51am

Can you try this possible fix?

sudo yunohost app upgrade roundcube -u https://github.com/YunoHost-Apps/roundcube_ynh/tree/fix

tierce · February 11, 2026, 1:24pm

Polp, j’ai également une erreur: https://paste.yunohost.org/raw/nebiwiwuje

ericg · February 11, 2026, 1:32pm

Depuis Master ? Ou bien le fix proposé plus haut ?

tierce · February 11, 2026, 1:35pm

Le fix

microniko · February 11, 2026, 8:09pm

Hello,

Thanks but the URL is wrong :

Erreur : Command '['git', 'fetch', '--depth=1', 'origin', 'fix']' 
returned non-zero exit status 128.
Erreur : Impossible de récupérer les fichiers sources, l'URL est-elle 
correcte ?

ericg · February 11, 2026, 10:07pm

The proposed fix wasn’t working… It was removed

JfmbLinux · February 11, 2026, 10:33pm

Je l’ai vu ce matin la mise à jour à faire, effectué dans la foulée et aucun problème

Krakinou · February 12, 2026, 10:13am

Hello

Pour ma part, la mise à jour c’est bien passé, mais plus aucun des plugins n’est installé.

Dans le log il indique bien qu’il va les retirer:

https://paste.yunohost.org/raw/ejunihufun

tierce · February 12, 2026, 10:26am

C’est ok pour moi aussi. Merci

JfmbLinux · February 12, 2026, 11:03pm

Il manque le plugin contextmenule menu contextuel ne s’affiche pas dans Roundcube.

Il manque aussi automatic_addressbook.

system · February 27, 2026, 11:04pm

This topic was automatically closed 15 days after the last reply. New replies are no longer allowed.