← volver
CVE-2020-35730

CVE-2020-35730

CVSS 6.1 MEDIUMEPSS 32.4%● KEVCWE-79
En resumen

Roundcube Webmail tiene una vulnerabilidad que permite a atacantes inyectar código JavaScript malicioso en correos electrónicos de texto plano a través de enlaces especialmente construidos, que se ejecutan en el navegador de la víctima al ver el correo.

Detalle técnico

Vulnerabilidad XSS en la función linkref_addindex del archivo rcube_string_replacer.php permite que atacantes remotos inyecten JavaScript mediante referencias de enlace malformadas en correos de texto plano; requiere que el usuario vea el correo construido; resulta en secuestro de sesión, robo de credenciales o distribución de malware.

Resumen generado y traducido por IA a partir de la descripción oficial.
An XSS issue was discovered in Roundcube Webmail before 1.2.13, 1.3.x before 1.3.16, and 1.4.x before 1.4.10. The attacker can send a plain text e-mail message, with JavaScript in a link reference element that is mishandled by linkref_addindex in rcube_string_replacer.php.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Productos afectados
n/a · n/a
PoCs públicas encontradas1
githubgithub.com/skyllpro/CVE-2021-44026-PoC0
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=978491https://github.com/roundcube/roundcubemail/compare/1.4.9...1.4.10https://github.com/roundcube/roundcubemail/releases/tag/1.2.13https://github.com/roundcube/roundcubemail/releases/tag/1.3.16https://github.com/roundcube/roundcubemail/releases/tag/1.4.10https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/HCEU4BM5WGIDJWP6Z4PCH62ZMH57QYM2/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/HMLIZWKMTRCLU7KZLEQHELS4INXJ7X5Q/https://roundcube.net/download/https://www.alexbirnberg.com/roundcube-xss.htmlhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2020-35730