CVE-2024-37383
CVE-2024-37383
En resumen
Roundcube Webmail tiene una vulnerabilidad que permite a atacantes inyectar código malicioso mediante atributos de animación SVG en correos electrónicos, posibilitando el robo de información o acciones no autorizadas en nombre del usuario.
Detalle técnico
CWE-79 (XSS Almacenado) en versiones <1.5.7 y 1.6.x <1.6.7 de Roundcube por falta de sanitización de elementos SVG animate. Vector de ataque requiere contenido de correo electrónico malicioso; ejecución ocurre en el navegador de la víctima al renderizar el mensaje. Impacto incluye secuestro de sesión y robo de credenciales.
Resumen generado y traducido por IA a partir de la descripción oficial.
Roundcube Webmail before 1.5.7 and 1.6.x before 1.6.7 allows XSS via SVG animate attributes.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Productos afectados
n/a · n/aPoCs públicas encontradas — 4
githubgithub.com/bartfroklage/CVE-2024-37383-POC★ 5githubgithub.com/amirzargham/CVE-2024-37383-exploit★ 0githubgithub.com/hyungin0505/CVE-2024-37383_PoC★ 0exploitdbwww.exploit-db.com/exploits/52173no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://github.com/roundcube/roundcubemail/commit/43aaaa528646877789ec028d87924ba1accf5242https://github.com/roundcube/roundcubemail/releases/tag/1.5.7https://github.com/roundcube/roundcubemail/releases/tag/1.6.7https://lists.debian.org/debian-lts-announce/2024/06/msg00008.htmlhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-37383