Investigadores de seguridad han descubierto una vulnerabilidad en Roundcube Webmail que permite a los atacantes rastrear la apertura de correos electrónicos incluso cuando la opción "Bloquear imágenes remotas" está activada. La falla, divulgada el 8 de febrero de 2026, reside en la forma en que el sanitizador de Roundcube maneja los atributos href de los elementos <feImage> dentro de archivos SVG. En lugar de pasar por la función is_image_attribute() que bloquea URLs externas, el atributo href se procesa a través de wash_link(), que permite URLs HTTP/HTTPS. Esto permite a los atacantes cargar imágenes remotas y rastrear la apertura de correos electrónicos sin el conocimiento del usuario.
La vulnerabilidad afecta a versiones de Roundcube anteriores a la 1.5.13 y a la 1.6.x anteriores a la 1.6.13. Roundcube ha lanzado actualizaciones (1.5.13 y 1.6.13) para corregir la falla, implementando una solución que unifica la verificación de atributos SVG para evitar que <feImage> se pr