PHP et Roundcube : pourquoi les correctifs 2025-2026 meritent votre attention

Roundcube reste un bon rappel du risque applicatif PHP

Roundcube n est pas un framework de developpement generaliste, mais c est une application PHP tres deployee et un bon indicateur du risque reel des logiciels web anciens encore exposes.

En juin 2025, le projet Roundcube a publie des mises a jour 1.6.11 et 1.5.10 pour corriger une faille de type post-auth RCE via deserialisation d objets PHP. Puis, en 2026, le projet a encore publie plusieurs correctifs de securite, notamment les mises a jour du 8 fevrier 2026 et du 29 mars 2026.

Pourquoi ce cas est interessant

Il montre que le danger ne vient pas seulement des grands zero-days historiques. Il vient aussi des applications admin web tres repandues qui gerent messagerie, contacts, pieces jointes et sessions, souvent sur des infrastructures tres diverses.

Roundcube concentre plusieurs facteurs de risque classiques :

Ce que cela dit de PHP

PHP est souvent present dans les outils historiques du web. Le risque operationnel vient alors de la combinaison entre application ancienne, faible cadence de maintenance et exposition Internet continue.

Un webmail expose n a pas besoin d etre spectaculaire pour etre critique. Il peut devenir une porte d entree vers des boites mail, des reinitialisations de mots de passe, des pieces jointes sensibles ou des campagnes de compromission plus larges.

Ce qu il faut verifier en 2026

Notre lecture

Si Drupalgeddon2 represente le grand choc historique cote CMS PHP, Roundcube rappelle un autre risque tout aussi important : les logiciels web anciens, utiles, stables en apparence, mais qui continuent de publier des correctifs critiques ou sensibles.

Pour une equipe securite, l enjeu est moins de savoir si PHP est dangereux que de savoir combien d applications PHP anciennes, connectees a des donnees critiques, restent encore visibles et peu surveillees.