Vulnerabilidad en Roundcube (CVE-2023-46267)
Gravedad:
Pendiente de análisis
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/10/2023
Última modificación:
07/11/2023
Descripción
Roundcube anterior a 1.4.15, 1.5.x anterior a 1.5.5 y 1.6.x anterior a 1.6.4 permiten XSS a través de un mensaje de correo electrónico de texto/html que contiene una imagen SVG con un elemento USE. Esto está relacionado con wash_uri en rcube_washtml.php.
Impacto
Referencias a soluciones, herramientas e información
- https://github.com/roundcube/roundcubemail/commit/41756cc3331b495cc0b71886984474dc529dd31d
- https://github.com/roundcube/roundcubemail/compare/1.4.14...1.4.15
- https://github.com/roundcube/roundcubemail/compare/1.5.4...1.5.5
- https://github.com/roundcube/roundcubemail/issues/9168
- https://roundcube.net/news/2023/10/16/security-update-1.6.4-released
- https://roundcube.net/news/2023/10/16/security-updates-1.5.5-and-1.4.15