CVE-2021-44026
CVE-2021-44026
En resumen
Roundcube en versiones anteriores a 1.3.17 y 1.4.12 tiene una falla en la función de búsqueda que permite a atacantes inyectar comandos SQL maliciosos. Esto podría permitir que un atacante robe correos electrónicos, contraseñas u otros datos sensibles del servidor de correo.
Detalle técnico
Vulnerabilidad de inyección SQL en la funcionalidad de búsqueda y search_params de Roundcube permite que atacantes ejecuten consultas SQL arbitrarias contra la base de datos. El vector de ataque aprovecha la falta de sanitización adecuada de parámetros de búsqueda, pudiendo resultar en exfiltración de datos, bypass de autenticación o manipulación de la base de datos.
Resumen generado y traducido por IA a partir de la descripción oficial.
Roundcube before 1.3.17 and 1.4.x before 1.4.12 is prone to a potential SQL injection via search or search_params.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/aPoCs públicas encontradas — 2
githubgithub.com/shanglyu/roundcube-cve-2021-44026★ 0githubgithub.com/skyllpro/CVE-2021-44026-PoC★ 0⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://bugs.debian.org/1000156https://github.com/roundcube/roundcubemail/commit/c8947ecb762d9e89c2091bda28d49002817263f1https://github.com/roundcube/roundcubemail/commit/ee809bde2dcaa04857a919397808a7296681dcfahttps://lists.debian.org/debian-lts-announce/2021/12/msg00004.htmlhttps://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/NDVGIZMQJ5IOM47Y3SAAJRN5VPANKTKO/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/TP3Y5RXTUUOUODNG7HFEKWYNIPIT2NL4/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2021-44026https://www.debian.org/security/2021/dsa-5013