Poważne podatności w systemach Roundcube i SharePoint | Centrum e-Zdrowia

Infolinia CeZ 24h/7   19 239

Tłumacz PJM

Unia Europejska Flaga Unii Europejskiej

czerwony trójkąt z wykrzyknikiem w środku unosi się nad klawiaturą laptopa

Poważne podatności w systemach Roundcube i SharePoint

W systemach wykorzystywanych w środowisku IT zidentyfikowano szereg istotnych podatności o wysokim poziomie ryzyka, obejmujących zarówno Roundcube Webmail, jak i Microsoft SharePoint. Mogą one umożliwić m.in. wykonanie ataków SQL injection, SSRF oraz zdalne uruchomienie kodu, co w konsekwencji może prowadzić do przejęcia kontroli nad systemami i naruszenia poufności danych. Ze względu na skalę potencjalnych skutków rekomendowane jest pilne wdrożenie aktualizacji oraz działań zabezpieczających.

Charakterystyka podatności CVE-2026-48842, CVE-2026-48843, CVE-2026-48844 Roundcube Webmail

  • CVSS Score: 8,1 High (Max)
  • CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Opis podatności

W aplikacji Roundcube Webmail zostały zidentyfikowane 3 podatności: 

  • CVE-2026-48842 może umożliwić wykonanie nieautoryzowanych zapytań do bazy danych i pozwolić na przeprowadzenie ataku typu SQL injection. 
  • CVE-2026-48843 jest spowodowana błędnym filtrowanianiem treści HTML/CSS w e-mailach. W rezultacie może umożliwić przeprowadzenie ataku typu SSRF, a nawet dostęp do zasobów wewnętrznych. 
  • CVE-2026-48844 również dotyczy przetwarzania wiadomości. Może ona umożliwić manipulację treścią lub wywołanie niepożądanych żądań w systemie.

Podatne systemy

  • Roundcube 1.6.x
  • Roundcube 1.7.x

Zalecane działania

Zalecamy zaktualizowanie oprogramowania do bezpiecznej wersji 1.6.16 lub 1.7.1, które eliminują powyższe podatności.

Źródła

CVE-2026-48842

CVE-2026-48843

CVE-2026-48844

Podatność CVE-2026-45659 Microsoft Office SharePoint Vulnerability

  • Score: 8,8 High
  • Wektor: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Opis podatności

Wykryta luka w zabezpieczeniach programu Microsoft Office SharePoint jest spowodowana nieprawidłową deserializacją niezaufanych danych. Umożliwia uwierzytelnionemu atakującemu na wykonanie dowolnego kodu na podatnym serwerze.

Podatne wersje oprogramowania

  • Microsoft SharePoint Server Subscription Edition
  • Microsoft SharePoint Server 2019
  • Microsoft SharePoint Enterprise Server 2016

Zalecane działania

Zastosuj oficjalną poprawkę firmy Microsoft zgodnie z rekomendacją opublikowaną na stronie producenta.

Źródło