Wer sein E-Mail-Postfach mit Roundcube selbst hostet, sollte heute Abend nichts anderes mehr machen als eines: updaten. Das Roundcube-Team hat dringende Sicherheitsupdates veröffentlicht. Die gefährlichste Lücke trägt die Kennung CVE-2026-48842 — eine SQL-Injection, die ein Angreifer ganz ohne Login ausnutzen kann.
Was ist passiert?
Roundcube ist eine der beliebtesten Weboberflächen für E-Mail und steckt in unzähligen Hosting-Paketen und Control-Panels. Genau das macht solche Lücken so brisant: Sie betreffen sehr viele Server auf einen Schlag. Die neuen Versionen 1.6.16 und 1.7.1 schließen gleich mehrere Schwachstellen.
Die kritische Lücke: CVE-2026-48842
Der gefährlichste Fund ist eine Pre-Authentication-SQL-Injection mit einem CVSS-Wert von 8.1. „Pre-Auth“ heißt: Der Angreifer muss sich nicht einloggen, um die Lücke anzugreifen. Über manipulierte Anfragen lässt sich Schadcode in Datenbankabfragen einschleusen — ein Klassiker, der im schlimmsten Fall Zugriff auf sensible Daten öffnet. Genau deshalb ist diese Lücke so ernst.
Und noch mehr
Die Updates beheben zudem CVE-2026-48844 (CVSS 7.5): Dabei wurde die Möglichkeit entfernt, über bestimmte LDAP-Konfigurationen Code direkt auswerten zu lassen — was Angreifern sonst Befehle auf dem Server erlaubt hätte. Hinzu kommt mit CVE-2026-48848 eine Cross-Site-Scripting-Lücke, bei der sich der HTML-Filter über einen SVG-Trick austricksen ließ.
Bin ich betroffen?
Wenn du Roundcube selbst betreibst — direkt installiert oder über dein Hosting-Panel — lautet die Antwort: ziemlich sicher ja, solange du nicht auf den neuesten Stand bist. Nutzt du Webmail nur über deinen Provider, liegt das Update in dessen Verantwortung; ein freundlicher Hinweis an den Support schadet aber nie.
Was du jetzt tun solltest
Ganz einfach und ohne Drama: Aktualisiere auf Roundcube 1.6.16 oder 1.7.1. Mach vorher wie immer ein Backup von Dateien und Datenbank, dann spiel das Update ein. Wer mehrere Instanzen betreibt, geht sie der Reihe nach durch. Halte anschließend kurz Ausschau nach auffälligen Logins oder Fehlern in den Logs.
Ein genereller Tipp für selbst gehostete Webmailer: Setz Roundcube nicht ungeschützt ins offene Netz, wenn es nicht sein muss. Eine vorgelagerte Zugangshürde, aktuelle Updates und regelmäßige Log-Kontrollen senken dein Risiko deutlich — gerade bei Pre-Auth-Lücken, die ohne Login funktionieren.
Warum Webmail ein beliebtes Ziel ist
Webmailer wie Roundcube sind aus zwei Gründen attraktiv für Angreifer. Erstens stehen sie naturgemäß offen im Internet, damit du von überall an deine Mails kommst. Zweitens hängt an einem E-Mail-Konto extrem viel: Passwort-Resets anderer Dienste, private Korrespondenz, oft auch geschäftliche Daten. Wer ein Postfach übernimmt, kann darüber weitere Konten kapern. Genau deshalb sind schnelle Updates hier kein Luxus, sondern Pflicht. Trag dir am besten einen festen Termin ein, an dem du Webmail, CMS und Co. regelmäßig auf Aktualität prüfst — dann verpasst du auch die nächste kritische Lücke nicht.