Inyección SQL Pre-Autenticación en el Plugin virtuser_query de Roundcube Webmail

Vulnerabilidad crítica de Inyección SQL que radica en una validación deficiente de los datos de entrada manejados por el complemento de consulta de usuarios virtuales (virtuser_query). Un atacante externo puede explotar esta debilidad sin poseer credenciales válidas en el sistema para extraer información confidencial directamente de la base de datos de correo, evadir mecanismos de autenticación o, en ciertos escenarios, comprometer la integridad del servidor de correo.

Actualizar Roundcube de manera prioritaria a las versiones corregidas 1.6.16 o 1.7.1 (según la rama en uso) provistas por el desarrollador. Si la actualización inmediata no es viable, se recomienda deshabilitar temporalmente el plugin virtuser_query en el archivo de configuración principal de Roundcube (config.inc.php) o aplicar reglas estrictas en el WAF/Proxy Inverso para filtrar intentos de inyección de comandos en las pantallas de inicio de sesión.

https://nvd.nist.gov/vuln/detail/CVE-2026-48842