【漏洞预警】Roundcube Webmail跨站脚本漏洞（CVE-2024-42009、CVE-2024-42008）

2024年8月7日22:27:22评论102 views字数 1062阅读3分32秒阅读模式

预警公告严重

近日，安全聚实验室监测到 Roundcube Webmail 中存在多个跨站脚本漏洞，编号为：CVE-2024-42009、CVE-2024-42008，这些漏洞当受害者在Roundcube中查看恶意电子邮件时，可能导致攻击者利用该漏洞窃取电子邮件和联系人、获取受害者的电子邮件密码，并从受害者的账户发送电子邮件等恶意行为。

漏洞描述

Roundcube Webmail是一个开源的基于web的电子邮件客户端，旨在提供用户友好的界面和强大的功能，使用户能够通过web浏览器方便地访问和管理他们的电子邮件。Roundcube支持标准的邮件协议（如IMAP和SMTP），并提供了许多常见的邮件功能，如收发邮件、管理联系人、创建日历事件等。其界面简洁直观，易于使用，同时还支持插件扩展，用户可以根据自己的需求定制功能。Roundcube Webmail被广泛应用于个人用户、企业和组织，为他们提供了一个方便、安全的电子邮件管理解决方案。Roundcube Webmail在处理HTML和SVG等附件时存在跨站脚本漏洞。未经身份验证的攻击者可以利用该漏洞，在受害者查看恶意电子邮件时窃取电子邮件、联系人信息，获取受害者的电子邮件密码，并利用受害者的账户发送恶意电子邮件等恶意行为。

影响范围

Roundcube Webmail <= 1.6.7
Roundcube Webmail <= 1.5.7

安全措施

目前厂商已发布可更新版本，建议用户尽快更新至 Roundcube Webmail 的修复版本或更高的版本：

Roundcube Webmail >= 1.6.8
Roundcube Webmail >= 1.5.8

下载链接：
https://github.com/roundcube/roundcubemail/releases

参考链接

1.https://roundcube.net/news/2024/08/04/security-updates-1.6.8-and-1.5.8
2.https://www.sonarsource.com/blog/government-emails-at-risk-critical-cross-site-scripting-vulnerability-in-roundcube-webmail/

技术支持

长按识别二维码，关注“安全聚”公众号，联系我们的团队技术支持。

【漏洞预警】Roundcube Webmail跨站脚本漏洞（CVE-2024-42009、CVE-2024-42008）

原文始发于微信公众号（安全聚）：【漏洞预警】Roundcube Webmail跨站脚本漏洞（CVE-2024-42009、CVE-2024-42008）

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

【漏洞预警】Roundcube Webmail跨站脚本漏洞（CVE-2024-42009、CVE-2024-42008）

Kerio Control CRLF注入漏洞

【已复现】Next.js 中间件鉴权绕过漏洞（CVE-2025-29927）

【支持排查与检测】Vite任意文件读取漏洞(CVE-2025-30208)

Vite 任意文件读取漏洞（CVE-2025-30208）

IngressNightmare：Ingress NGINX 中存在 9.8 严重未经身份验证的远程代码执行漏洞

Vite存在任意文件读取漏洞CVE-2025-30208 附POC

CVE-2025-24813：Apache Tomcat远程代码执行漏洞

CVE-2025-30208 任意文件读取漏洞快速验证

ingress-nginx-controller-admission未授权访问漏洞

用友NC反序列化漏洞

发表评论

在线咨询

微信