Software-update: Roundcube Webmail 1.6.16 / 1.7.1

Roundcube Webmail logoEr zijn updates verschenen voor versies 1.6 en 1.7 van Roundcube Webmail die diverse beveiligensproblemen moeten verhelpen. Roundcube Webmail biedt een webinterface om e-mail te kunnen lezen en verzenden. Het heeft onder andere ondersteuning voor gedeelde mappen en namespaces, internationalized domain names en SMTP-afleverstatusnotificaties. Daarnaast is de gebruikersinterface voor IMAP-mappen aangepast om zo meer ruimte te bieden voor extensies en plug-ins. De changelog voor beide versies kan hieronder worden gevonden.

Security updates 1.6.16 and 1.7.1 released

We just published security updates to the 1.6 LTS and 1.7 versions of Roundcube Webmail. They both contain fixes for recently reported security vulnerabilities.

Security fixes
  • Fix stored XSS/HTML/CSS injection in subject field of the draft restore dialog
  • Fix CSS injection bypass in HTML sanitizer via SVG <animate attributeName="style">
  • Fix pre-auth SQL injection in virtuser_query plugin via preg_replace backslash escape bypass
  • Fix SSRF bypass via specific local address URLs
  • Fix local/private URL fetch bypass when remote resources were not allowed
  • Fix bypass of remote image blocking via CSS var()
  • Fix pre-auth arbitrary file delete via redis/memcache session poisoning bypass
  • Fix code injection vulnerability - remove support for code evaluation in LDAP autovalues option

See the full changelogs in the release notes on the Github download pages for the updated versions 1.6.16 and 1.7.1. We strongly recommend to update all productive installations of Roundcube 1.6.x and 1.7.x with this new versions.

RoundCube Webmail

Versienummer 1.6.16 / 1.7.1
Releasestatus Final
Besturingssystemen Scripttaal
Website Roundcube Webmail
Download https://roundcube.net/download
Licentietype GPL

Door Bart van Klaveren

Downloads en Best Buy Guide

Feedback • 24-05-2026 19:09 7

24-05-2026 • 19:09

7

Bron: Roundcube Webmail

Update-historie

24-05 Roundcube Webmail 1.6.16 / 1.7.1 7
10-05 Roundcube Webmail 1.7.0 12
29-03 Roundcube Webmail 1.5.15 / 1.6.15 / 1.7rc6 2
18-03 Roundcube Webmail 1.5.14 / 1.6.14 / 1.7rc5 6
08-02 Roundcube Webmail 1.5.13 / 1.6.13 7
14-12 Roundcube Webmail 1.5.12 / 1.6.12 1
06-'25 Roundcube Webmail 1.5.9 / 1.6.11 6
02-'25 Roundcube Webmail 1.6.10 25
09-'24 Roundcube Webmail 1.5.9 / 1.6.9 2
08-'24 Roundcube Webmail 1.5.8 / 1.6.8 4
Meer historie

Lees meer

RoundCube Webmail

geen prijs bekend

3.5 van 5 sterren
Overige software

Reacties (7)

-Moderatie-faq
7
7
5
0
0
2
Wijzig sortering

Sorteer op:

Weergave:
opa uche 25 mei 2026 10:13
De upgrade van 1.6 naar 1.7 gaat niet zomaar. En wat er dan over verteld wordt komt ook niet tot een oplossing. Restore VM dan maar, nu de ruzie met de 2e /public_html/ folder mij te lang duurt...

Ik denk dat ik hem maar even gewoon clean installeer en via die handleiding de boel werkend krijg.
Lizard @opa uche25 mei 2026 14:52
Hoezo een 2e public_html?

Je moet in bv je apache config je config zo aanpassen:

oud:
DocumentRoot <path to>/roundcube/
nieuw:
DocumentRoot <path to>/roundcube/public_html
opa uche @Lizard25 mei 2026 17:09
Ik heb alles in /var/www/html/websitenaam/public_html/ staan

En hier vind je dus de zaken zoals /bin, /config, /plugins, etc (en dus ook nog een /public_html)
dylan_ @opa uche25 mei 2026 17:32
Je moet roundcube ook niet in public_html installeren. Daar wil je alleen de bestanden die daadwerkelijk van de website zelf zijn.
Hydranet @dylan_25 mei 2026 20:51
Ik vind het vrij verwarrend, want ik heb al mijn websites staan onder /data/websites/voorbeeld/html, nu moet ik alleen voor Roundcube /data/websites/roundcube/html/public_html aanmaken en die server terwijl bij de rest alles onder de map html geserveerd word. Maar ja het is niet anders, ben nog altijd wel blij ben Roundcube want gebruik het al jaren :)
opa uche @dylan_25 mei 2026 23:32
Ah wacht effe. Op die tour. Daar had ik overheen gekeken!
Cybje @opa uche25 mei 2026 16:36
Ligt er aan hoe je ‘m installeert. Ik gebruik de Docker container en die deed het direct, zonder aanpassingen aan de configuratie van de nginx proxy die ik ervoor heb zitten.

Op dit item kan niet meer gereageerd worden.