Peringatan Ancaman

Roundcube Webmail dilaporkan memiliki dua kerentanan dengan tingkat keparahan tinggi yang dapat membahayakan keamanan dan privasi pengguna webmail. Kedua celah ini memungkinkan eksekusi JavaScript berbahaya di browser korban serta potensi kebocoran data sensitif dari tampilan inbox hanya lewat email yang tampak “normal”.​

CVE-2025-68461 – XSS lewat SVG Animate (CVSS 7.2)

Kerentanan pertama adalah cross-site scripting (XSS) yang muncul karena Roundcube tidak menyaring konten SVG dengan benar, khususnya elemen <animate>. Penyerang dapat mengirim email dengan lampiran atau konten SVG yang telah dimodifikasi sedemikian rupa sehingga, ketika email tersebut dibuka di webmail, JavaScript berbahaya dieksekusi di browser pengguna.​

Dampak yang mungkin terjadi:

• Session hijacking (pencurian sesi login webmail)

• Pencurian kredensial atau token sesi

• Redirect diam‑diam ke situs phishing atau halaman malware

Masalah ini berasal dari sanitasi SVG yang tidak memadai, sehingga script terselubung di dalam gambar masih bisa lolos dan berjalan di konteks sesi pengguna.​

CVE-2025-68460 – Kebocoran Informasi via HTML/CSS (CVSS 7.2)

Kerentanan kedua adalah information disclosure akibat sanitasi HTML dan CSS yang tidak cukup ketat. Dengan email HTML yang direkayasa khusus, penyerang dapat:​

• Membypass filter CSS yang seharusnya melindungi antarmuka

• Menggunakan teknik CSS/HTML untuk menyimpulkan atau mengeksfiltrasi elemen antarmuka atau data inbox

Ini berarti, tanpa autentikasi tambahan, email berbahaya saja sudah bisa dipakai untuk:

• Mengintip struktur antarmuka webmail

• Mengungkap sebagian informasi inbox atau status tertentu di UI yang seharusnya privat

Kerentanan ini merusak kerahasiaan (confidentiality) dan berpotensi mempengaruhi integritas sesi pengguna.​

Dampak bagi Pengguna & Organisasi

Jika kedua celah ini dieksploitasi, penyerang cukup mengirim email yang tampak tidak mencurigakan ke target yang menggunakan Roundcube. Ketika email dibuka di webmail:

• XSS bisa dipakai untuk mengambil alih sesi, mencuri cookie, atau menjalankan aksi atas nama pengguna.

• Teknik CSS/HTML berbahaya bisa dipakai untuk mengintip data sensitif di antarmuka atau perilaku inbox.

Karena serangannya berbasis konten email, ini sangat relevan untuk organisasi yang memakai Roundcube sebagai webmail utama, terutama jika pengguna sering membuka email HTML dari sumber eksternal.

Versi yang Terdampak dan Patch

Celah ini memengaruhi cabang utama Roundcube yang masih didukung. Pengembang telah merilis pembaruan:​

• Roundcube 1.5.12 atau lebih baru

• Roundcube 1.6.12 atau lebih baru

Versi tersebut berisi perbaikan sanitasi untuk SVG, HTML, dan CSS, sehingga payload berbahaya di email tidak lagi bisa dieksekusi atau dipakai untuk membaca informasi antarmuka.

Rekomendasi Mitigasi

Untuk admin dan pengelola sistem:

• Segera upgrade Roundcube ke versi 1.5.12 dan 1.6.12 atau yang lebih baru di semua instance yang masih aktif.​

• Pertimbangkan sementara membatasi rendering HTML penuh atau memaksa tampilan plaintext untuk pengirim tak dikenal hingga patch diterapkan.

• Edukasi pengguna agar lebih berhati‑hati membuka email HTML dari sumber yang tidak terpercaya.

Untuk organisasi dengan kebijakan keamanan ketat, bisa juga:

• Mengaktifkan pemindaian konten email (mail gateway) untuk memblokir lampiran atau konten SVG mencurigakan.

• Memonitor log akses webmail untuk aktivitas tidak biasa seperti sesi yang berpindah lokasi IP mendadak, atau pola login abnormal.

Sumber Referensi

• SecurityOnline – “Roundcube Alert: High-Severity SVG XSS and CSS Sanitizer Flaws Threaten Webmail Privacy” (membahas detail CVE‑2025‑68461 dan CVE‑2025‑68460, dampak, serta versi patch 1.5.12 dan 1.6.12).​