[TLP:CLEAR] Roundcube Webmail opravuje 3 zraniteľnosti
Roundcube verziami 1.5.7 a 1.6.7 opravuje 3 zraniteľnosti v produkte Webmail [1][2]. Zraniteľnosti eviduje iba Debian, a to len zraniteľnosti týkajúce sa XSS útoku, ktoré opravuje pre vydania trixie a sid vo verzii 1.6.7+dfsg-1 [3]. Ubuntu zatiaľ zraniteľnosti neeviduje [4].
Neautentizovanému vzdialenému útočníkovi je umožnené vykonávať príkazy v operačnom systéme obete zaslaním špeciálne vytvorenej elektronickej pošty [5][1][2].
Zraniteľnosť sa nachádza v produkte Roundcube vo verziách (<1.5.7) OR (>=1.6.0 AND <1.6.7)
Viac informácií:
- CVE-2024-37385 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 7. 6. 2024.
Neautentizovanému vzdialenému útočníkovi je umožnené vykonať XSS útok zaslaním špeciálne vytvorenej elektronickej pošty [6][7][1][2].
Zraniteľnosť sa nachádza v produkte Roundcube vo verziách (<1.5.7) OR (>=1.6.0 AND <1.6.7)
Viac informácií:
- CVE-2024-37384 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-37383 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 7. 6. 2024.
Odkazy
- [1] https://github.com/roundcube/roundcubemail/releases/tag/1.5.7
- [2] https://github.com/roundcube/roundcubemail/releases/tag/1.6.7
- [3] https://security-tracker.debian.org/tracker/source-package/roundcube
- [4] https://ubuntu.com/security/cves?q=&package=roundcube
- [5] https://nvd.nist.gov/vuln/detail/CVE-2024-37385
- [6] https://nvd.nist.gov/vuln/detail/CVE-2024-37384
- [7] https://nvd.nist.gov/vuln/detail/CVE-2024-37383
Publikoval Martin Krajči dňa 7. 6. 2024.
