Vulnerabilidad en Roundcube (CVE-2024-42009)
Severidad:
CRÍTICA
Type:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
05/08/2024
Última modificación:
06/09/2024
Descripción
Una vulnerabilidad de Cross-Site Scripting en Roundcube hasta 1.5.7 y 1.6.x hasta 1.6.7 permite a un atacante remoto robar y enviar correos electrónicos de una víctima a través de un mensaje de correo electrónico manipulado que abusa de un problema de desanitización en message_body() en program/actions/mail/show.php.
Impacto
Puntuación base 3.x
9.30
Severidad 3.x
CRÍTICA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:roundcube:webmail:*:*:*:*:*:*:*:* | 1.5.8 (excluyendo) | |
cpe:2.3:a:roundcube:webmail:*:*:*:*:*:*:*:* | 1.6.0 (incluyendo) | 1.6.8 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/roundcube/roundcubemail/releases
- https://github.com/roundcube/roundcubemail/releases/tag/1.5.8
- https://github.com/roundcube/roundcubemail/releases/tag/1.6.8
- https://roundcube.net/news/2024/08/04/security-updates-1.6.8-and-1.5.8
- https://sonarsource.com/blog/government-emails-at-risk-critical-cross-site-scripting-vulnerability-in-roundcube-webmail/