Roundcube Webmail'in e-posta istemcisinde önemli bir güvenlik açığı tespit edildi. Bu açık, kullanıcıların gizlilik ayarlarını atlayarak e-posta açılışlarının izlenmesine olanak tanıyordu. Normalde Roundcube'un rcube_washtml adlı temizleyici (sanitizer) özelliği, <img>, <image> ve <use> gibi etiketlerdeki harici kaynakları engellemek üzere tasarlanmıştı. Ancak, SVG içindeki <feImage> etiketinin href özelliği bu engelleme mekanizmasından kaçmayı başardı.
Güvenlik açığının temel nedeni, feImage etiketinin href özelliğinin yanlış kod yolu üzerinden işlenmesiydi. Temizleyici, bu özelliği görsel kaynak olarak algılamak yerine, normal bir bağlantı (<a href>) gibi değerlendirerek wash_link() fonksiyonuna yönlendiriyordu. wash_link() ise HTTP/HTTPS URL'lerini doğrudan geçişine izin verdiği için, saldırganlar e-postalara özel olarak hazırlanmış bir SVG kodu ekleyerek, "Uzaktan Görüntüleri Engelle" ayarı aktif olsa bile alıcıların e-postayı açıp açmadığını takip edebiliyordu.
Bu zafiyet, 1.5.13 ve 1.6.13 öncesi Roundcube sürümlerini etkilemekteydi ve ilgili düzeltmeler bu sürümlerle birlikte yayımlandı. Keşif, bir güvenlik araştırmacısının SVG tabanlı zafiyetleri incelerken rcube_washtml.php dosyasındaki SVG elemanlarının nasıl işlendiğini analiz etmesiyle ortaya çıktı. Bu tür bir açık, kullanıcı gizliliği açısından ciddi sonuçlar doğurabilir ve istenmeyen izlemelere yol açabilir.
Kullanıcıların gizlilik ayarlarını atlayarak e-posta açılışlarının izlenmesi, kişisel verilerin korunması açısından ciddi bir güvenlik riskidir.