Vulnerabilidad en Roundcube Webmail (CVE-2015-5381)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
23/05/2017
Última modificación:
20/04/2025
Descripción
Vulnerabilidad de tipo Cross-site scripting (XSS) en program/include/rcmail.php en Roundcube Webmail, versiones 1.1.x anteriores a la 1.1.2, que permitiría a atacantes remotos inyectar secuencias de comandos web arbitrarios o HTML a través del parámetro _mbox en la URI por defecto.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:roundcube:roundcube_webmail:1.1.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:roundcube:webmail:1.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:roundcube:webmail:1.1:beta:*:*:*:*:*:* | ||
| cpe:2.3:a:roundcube:webmail:1.1:rc:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://trac.roundcube.net/ticket/1490417
- http://www.openwall.com/lists/oss-security/2015/07/07/2
- https://github.com/roundcube/roundcubemail/commit/b782815dacda55eee6793249b5da1789256206fc
- https://github.com/roundcube/roundcubemail/issues/4837
- https://roundcube.net/news/2015/06/05/updates-1.1.2-and-1.0.6-released
- http://trac.roundcube.net/ticket/1490417
- http://www.openwall.com/lists/oss-security/2015/07/07/2
- https://github.com/roundcube/roundcubemail/commit/b782815dacda55eee6793249b5da1789256206fc
- https://github.com/roundcube/roundcubemail/issues/4837
- https://roundcube.net/news/2015/06/05/updates-1.1.2-and-1.0.6-released