← volver
CVE-2024-42009

CVE-2024-42009

CVSS 9.3 CRITICALEPSS 82.9%● KEVCWE-79
En resumen

Los clientes de correo Roundcube versiones hasta 1.5.7 y 1.6.x hasta 1.6.7 tienen una falla donde emails especialmente elaborados pueden inyectar código malicioso que se ejecuta en el navegador de la víctima, permitiendo que atacantes roben y envíen correos en su nombre.

Detalle técnico

Existe una vulnerabilidad de Cross-Site Scripting (XSS) en la función message_body() del archivo program/actions/mail/show.php debido a desinfección inadecuada del contenido de mensajes. Un atacante puede entregar un mensaje de correo manipulado que ejecute JavaScript arbitrario en el contexto del navegador de la víctima, permitiendo robo de correos y transmisión no autorizada de mensajes. La vulnerabilidad requiere que la víctima abra el correo malicioso.

Resumen generado y traducido por IA a partir de la descripción oficial.
A Cross-Site Scripting vulnerability in Roundcube through 1.5.7 and 1.6.x through 1.6.7 allows a remote attacker to steal and send emails of a victim via a crafted e-mail message that abuses a Desanitization issue in message_body() in program/actions/mail/show.php.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
Productos afectados
n/a · n/a
PoCs públicas encontradas6
githubgithub.com/DaniTheHack3r/CVE-2024-42009-PoC7githubgithub.com/0xbassiouny1337/CVE-2024-420094githubgithub.com/Bhanunamikaze/CVE-2024-420091githubgithub.com/ZaidArif47/CVE-2024-420091githubgithub.com/Shubhankargupta691/CVE-2024-420090githubgithub.com/segunakinsoyinu/CVE-2024-42009-roundcube-xss0
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/roundcube/roundcubemail/releaseshttps://github.com/roundcube/roundcubemail/releases/tag/1.5.8https://github.com/roundcube/roundcubemail/releases/tag/1.6.8https://roundcube.net/news/2024/08/04/security-updates-1.6.8-and-1.5.8https://sonarsource.com/blog/government-emails-at-risk-critical-cross-site-scripting-vulnerability-in-roundcube-webmail/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-42009