CVE-2024-37383
CVE-2024-37383
Em resumo
O Roundcube Webmail possui uma falha que permite que atacantes injetem código malicioso através de atributos de animação SVG em emails, possibilitando roubo de informações ou ações não autorizadas em nome do usuário.
Detalhe técnico
CWE-79 (XSS Armazenado) nas versões <1.5.7 e 1.6.x <1.6.7 do Roundcube via falta de validação de elementos SVG animate. O vetor de ataque é conteúdo de email malicioso; a execução ocorre no navegador da vítima durante a renderização. Impacto inclui sequestro de sessão e roubo de credenciais.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Roundcube Webmail before 1.5.7 and 1.6.x before 1.6.7 allows XSS via SVG animate attributes.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Produtos afetados
n/a · n/aPoCs públicas encontradas — 4
githubgithub.com/bartfroklage/CVE-2024-37383-POC★ 5githubgithub.com/amirzargham/CVE-2024-37383-exploit★ 0githubgithub.com/hyungin0505/CVE-2024-37383_PoC★ 0exploitdbwww.exploit-db.com/exploits/52173não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://github.com/roundcube/roundcubemail/commit/43aaaa528646877789ec028d87924ba1accf5242https://github.com/roundcube/roundcubemail/releases/tag/1.5.7https://github.com/roundcube/roundcubemail/releases/tag/1.6.7https://lists.debian.org/debian-lts-announce/2024/06/msg00008.htmlhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-37383