【漏洞预警】Roundcube Webmail跨站脚本漏洞(CVE-2024-42009、CVE-2024-42008)

admin 2024年8月7日22:27:22评论102 views字数 1062阅读3分32秒阅读模式

预警公告 严重

近日,安全聚实验室监测到 Roundcube Webmail 中存在多个跨站脚本漏洞,编号为:CVE-2024-42009、CVE-2024-42008, 这些漏洞当受害者在Roundcube中查看恶意电子邮件时,可能导致攻击者利用该漏洞窃取电子邮件和联系人、获取受害者的电子邮件密码,并从受害者的账户发送电子邮件等恶意行为。

01

漏洞描述

Roundcube Webmail是一个开源的基于web的电子邮件客户端,旨在提供用户友好的界面和强大的功能,使用户能够通过web浏览器方便地访问和管理他们的电子邮件。Roundcube支持标准的邮件协议(如IMAP和SMTP),并提供了许多常见的邮件功能,如收发邮件、管理联系人、创建日历事件等。其界面简洁直观,易于使用,同时还支持插件扩展,用户可以根据自己的需求定制功能。Roundcube Webmail被广泛应用于个人用户、企业和组织,为他们提供了一个方便、安全的电子邮件管理解决方案。Roundcube Webmail在处理HTML和SVG等附件时存在跨站脚本漏洞。未经身份验证的攻击者可以利用该漏洞,在受害者查看恶意电子邮件时窃取电子邮件、联系人信息,获取受害者的电子邮件密码,并利用受害者的账户发送恶意电子邮件等恶意行为。

02

影响范围


Roundcube Webmail <= 1.6.7
Roundcube Webmail <= 1.5.7

03

安全措施

目前厂商已发布可更新版本,建议用户尽快更新至 Roundcube Webmail 的修复版本或更高的版本:

Roundcube Webmail >= 1.6.8
Roundcube Webmail >= 1.5.8

下载链接:
https://github.com/roundcube/roundcubemail/releases

04

参考链接

1.https://roundcube.net/news/2024/08/04/security-updates-1.6.8-and-1.5.8
2.https://www.sonarsource.com/blog/government-emails-at-risk-critical-cross-site-scripting-vulnerability-in-roundcube-webmail/

05

技术支持

长按识别二维码,关注“安全聚”公众号,联系我们的团队技术支持。

【漏洞预警】Roundcube Webmail跨站脚本漏洞(CVE-2024-42009、CVE-2024-42008)

原文始发于微信公众号(安全聚):【漏洞预警】Roundcube Webmail跨站脚本漏洞(CVE-2024-42009、CVE-2024-42008)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月7日22:27:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞预警】Roundcube Webmail跨站脚本漏洞(CVE-2024-42009、CVE-2024-42008)https://cn-sec.com/archives/3040725.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息