CVE-2023-43770
CVE-2023-43770
Em resumo
O Roundcube permite que atacantes injetem scripts maliciosos através de links especiais em emails em texto plano, que podem executar no navegador do usuário e roubar senhas ou realizar ações não autorizadas.
Detalhe técnico
Vulnerabilidade de cross-site scripting (XSS) na função rcube_string_replacer.php afeta Roundcube versões anteriores a 1.4.14, 1.5.4 e 1.6.3. Atacantes podem inserir links maliciosos em mensagens de email text/plain que contornam a sanitização, permitindo execução de scripts no contexto do navegador da vítima ao visualizar o email.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Roundcube before 1.4.14, 1.5.x before 1.5.4, and 1.6.x before 1.6.3 allows XSS via text/plain e-mail messages with crafted links because of program/lib/Roundcube/rcube_string_replacer.php behavior.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Produtos afetados
n/a · n/aPoCs públicas encontradas — 3
githubgithub.com/s3cb0y/CVE-2023-43770-POC★ 34githubgithub.com/knight0x07/CVE-2023-43770-PoC★ 3githubgithub.com/skyllpro/CVE-2021-44026-PoC★ 0⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://github.com/roundcube/roundcubemail/commit/e92ec206a886461245e1672d8530cc93c618a49bhttps://lists.debian.org/debian-lts-announce/2023/09/msg00024.htmlhttps://roundcube.net/news/2023/09/15/security-update-1.6.3-releasedhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2023-43770