Uma falha no sanitizador HTML do Roundcube Webmail permitia que atacantes carregassem recursos remotos via elemento SVG, vencendo a opção “bloquear imagens remotas” e possibilitando rastreamento de aberturas de e-mail mesmo com a proteção ativada. Os mantenedores liberaram correções nas versões 1.5.13 e 1.6.13 após divulgação em 8 de fevereiro de 2026.
Descoberta e escopo
O problema, reportado por NULL CATHEDRAL e coberto pela matéria consultada, afetava instâncias do Roundcube anteriores a 1.5.13 e todas as 1.6.x anteriores a 1.6.13. A falha está no componente rcube_washtml, responsável por sanitizar conteúdo HTML de mensagens recebidas.
Vetor e mecanismo da exploração
O sanitizador falhava ao classificar o elemento SVG <feImage> como um contêiner de imagem. Enquanto atributos de imagem típicos (por exemplo, src) eram bloqueados quando a opção allow_remote estava desabilitada, o atributo href de <feImage> era encaminhado para a função wash_link(), que permite HTTP/HTTPS para links clicáveis.
Como consequência, um SVG invisível 1×1 contendo um filtro com
<feImage>podia disparar um GET a um servidor controlado pelo atacante assim que o e-mail fosse renderizado.
Impacto prático
- Confirmar endereços ativos (verificação de lista).
- Registrar o endereço IP do destinatário.
- Coletar fingerprint do navegador/dispositivo do usuário.
Correção e mitigação
O commit identificado como 26d7677 atualiza a lógica regex de is_image_attribute() para reconhecer explicitamente feimage (além de image e use) ao inspecionar atributos href, bloqueando tentativas de carregar recursos externos via filtros SVG. Administradores self-hosted devem atualizar para 1.5.13 ou 1.6.13 imediatamente.
Observações para operação
A matéria não fornece amostras de e-mails explorando a falha nem indicadores de campanha ampla; trata-se de uma vulnerabilidade de privacidade/privacidade do usuário com correção já disponibilizada. Operadores de instâncias públicas ou privadas devem aplicar o patch, revisar configurações de renderização e, quando possível, inspecionar logs de acessos por recursos remotos para detectar solicitações inesperadas originadas por serviços webmail.
Em resumo: é uma vulnerabilidade de sanitização que permite tracking apesar da opção de bloqueio de imagens — a correção está disponível e a divulgação pública ocorreu em 8/02/2026.