CVE-2026-48842｜Roundcube Webmail插件SQL注入漏洞

0x00 前言

Roundcube Webmail是一个开源的基于web的电子邮件客户端，旨在提供用户友好的界面和强大的功能，使用户能够通过web浏览器方便地访问和管理他们的电子邮件。

Roundcube支持标准的邮件协议（如IMAP和SMTP），并提供了许多常见的邮件功能，如收发邮件、管理联系人、创建日历事件等。其界面简洁直观，易于使用，同时还支持插件扩展，用户可以根据自己的需求定制功能。

Roundcube Webmail被广泛应用于个人用户、企业和组织，为他们提供了一个方便、安全的电子邮件管理解决方案。

0x01 漏洞描述

该漏洞是Roundcube Webmail中virtuser_query插件存在的一个预认证SQL注入漏洞。漏洞根源在于preg_replace()函数的反斜杠转义绕过机制被攻击者利用。

攻击者可以在未登录的情况下，通过构造恶意的SQL语句片段，利用preg_replace()函数的特殊处理逻辑，绕过反斜杠转义保护，向数据库查询注入任意SQL命令。此漏洞可能导致敏感数据泄露，包括用户名、邮件配置信息、邮件元数据等数据库内容。

0x02 CVE编号

CVE-2026-48842

0x03 影响版本

Roundcube Webmail 1.6.x (1.6.0 至 1.6.15)
Roundcube Webmail 1.7.x (1.7.0)

0x04 漏洞详情

漏洞代码位于plugins/virtuser_query/virtuser_query.php文件中。在user2email、email2user、user2host和alias2user等函数中，使用preg_replace()将用户输入替换到SQL查询模板中。

问题在于preg_replace()函数的e修饰符（已废弃但仍可使用）允许执行代码，且反斜杠转义机制存在缺陷。攻击者可以通过构造特殊的输入绕过转义，向SQL查询中注入恶意代码。

0x05 参考链接

https://roundcube.net/news/2026/05/24/security-updates-1.6.16-and-1.7.1