CVE-2021-44026
CVE-2021-44026
Em resumo
O Roundcube versões anteriores a 1.3.17 e 1.4.12 possui uma falha na função de busca que permite que invasores injetem comandos SQL maliciosos. Isso pode permitir que um atacante roube emails, senhas ou outros dados sensíveis do servidor de correio.
Detalhe técnico
Vulnerabilidade de injeção SQL na funcionalidade de busca e search_params do Roundcube permite que atacantes executem consultas SQL arbitrárias contra o banco de dados. O vetor de ataque explora falta de sanitização adequada dos parâmetros de busca, podendo resultar em exfiltração de dados, bypass de autenticação ou manipulação do banco de dados.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Roundcube before 1.3.17 and 1.4.x before 1.4.12 is prone to a potential SQL injection via search or search_params.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aPoCs públicas encontradas — 2
githubgithub.com/shanglyu/roundcube-cve-2021-44026★ 0githubgithub.com/skyllpro/CVE-2021-44026-PoC★ 0⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://bugs.debian.org/1000156https://github.com/roundcube/roundcubemail/commit/c8947ecb762d9e89c2091bda28d49002817263f1https://github.com/roundcube/roundcubemail/commit/ee809bde2dcaa04857a919397808a7296681dcfahttps://lists.debian.org/debian-lts-announce/2021/12/msg00004.htmlhttps://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/NDVGIZMQJ5IOM47Y3SAAJRN5VPANKTKO/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/TP3Y5RXTUUOUODNG7HFEKWYNIPIT2NL4/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2021-44026https://www.debian.org/security/2021/dsa-5013