Roundcube ออกเวอร์ชัน 1.7 อุดช่องโหว่ Stored XSS แบบ Zero-Click 2 รายการ — แค่เปิดอ่านอีเมลก็ถูกขโมย session

Roundcube ปล่อยเวอร์ชัน 1.7 แก้ช่องโหว่ 6 รายการ รวมถึง Stored XSS ระดับวิกฤต 2 ตัวที่ทำงานแบบ zero-click ไม่ต้องให้เหยื่อคลิก CVE-2026-54432 เกิดจากการแสดงชนิดไฟล์ (MIME type) ของไฟล์แนบโดยไม่กรอง ทำให้สคริปต์รันทันทีที่หน้าเตือนโหลด ส่วน CVE-2026-54433 อยู่ในเอนจินแสดงข้อความแบบ plain-text แค่เปิดอ่านเมลก็ถูกฝังสคริปต์เงียบ ๆ ทั้งคู่เปิดทางขโมย session และเข้าถึงกล่องเมลโดยไม่ต้องมีปฏิสัมพันธ์ นักวิจัยแนะนำให้อัปเดตด่วนกว่ารอบแพตช์ปกติ
