← voltar
CVE-2020-35730

CVE-2020-35730

CVSS 6.1 MEDIUMEPSS 32.4%● KEVCWE-79
Em resumo

O Roundcube Webmail tem uma falha que permite atacantes injetar código JavaScript malicioso em emails de texto simples através de links especialmente construídos, que são executados no navegador da vítima ao visualizar o email.

Detalhe técnico

Vulnerabilidade de XSS na função linkref_addindex do arquivo rcube_string_replacer.php permite que atacantes remotos injetem JavaScript por meio de referências de link malformadas em emails de texto simples; requer que o usuário visualize o email construído; resulta em sequestro de sessão, roubo de credenciais ou distribuição de malware.

Resumo gerado e traduzido por IA a partir da descrição oficial.
An XSS issue was discovered in Roundcube Webmail before 1.2.13, 1.3.x before 1.3.16, and 1.4.x before 1.4.10. The attacker can send a plain text e-mail message, with JavaScript in a link reference element that is mishandled by linkref_addindex in rcube_string_replacer.php.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Produtos afetados
n/a · n/a
PoCs públicas encontradas1
githubgithub.com/skyllpro/CVE-2021-44026-PoC0
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=978491https://github.com/roundcube/roundcubemail/compare/1.4.9...1.4.10https://github.com/roundcube/roundcubemail/releases/tag/1.2.13https://github.com/roundcube/roundcubemail/releases/tag/1.3.16https://github.com/roundcube/roundcubemail/releases/tag/1.4.10https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/HCEU4BM5WGIDJWP6Z4PCH62ZMH57QYM2/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/HMLIZWKMTRCLU7KZLEQHELS4INXJ7X5Q/https://roundcube.net/download/https://www.alexbirnberg.com/roundcube-xss.htmlhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2020-35730