【漏洞预警】Roundcube Webmail跨站脚本漏洞（CVE-2024-42009、CVE-2024-42008）

2024年8月7日22:27:22评论110 views字数 1062阅读3分32秒阅读模式

预警公告严重

近日，安全聚实验室监测到 Roundcube Webmail 中存在多个跨站脚本漏洞，编号为：CVE-2024-42009、CVE-2024-42008，这些漏洞当受害者在Roundcube中查看恶意电子邮件时，可能导致攻击者利用该漏洞窃取电子邮件和联系人、获取受害者的电子邮件密码，并从受害者的账户发送电子邮件等恶意行为。

漏洞描述

Roundcube Webmail是一个开源的基于web的电子邮件客户端，旨在提供用户友好的界面和强大的功能，使用户能够通过web浏览器方便地访问和管理他们的电子邮件。Roundcube支持标准的邮件协议（如IMAP和SMTP），并提供了许多常见的邮件功能，如收发邮件、管理联系人、创建日历事件等。其界面简洁直观，易于使用，同时还支持插件扩展，用户可以根据自己的需求定制功能。Roundcube Webmail被广泛应用于个人用户、企业和组织，为他们提供了一个方便、安全的电子邮件管理解决方案。Roundcube Webmail在处理HTML和SVG等附件时存在跨站脚本漏洞。未经身份验证的攻击者可以利用该漏洞，在受害者查看恶意电子邮件时窃取电子邮件、联系人信息，获取受害者的电子邮件密码，并利用受害者的账户发送恶意电子邮件等恶意行为。

影响范围

Roundcube Webmail <= 1.6.7
Roundcube Webmail <= 1.5.7

安全措施

目前厂商已发布可更新版本，建议用户尽快更新至 Roundcube Webmail 的修复版本或更高的版本：

Roundcube Webmail >= 1.6.8
Roundcube Webmail >= 1.5.8

下载链接：
https://github.com/roundcube/roundcubemail/releases

参考链接

1.https://roundcube.net/news/2024/08/04/security-updates-1.6.8-and-1.5.8
2.https://www.sonarsource.com/blog/government-emails-at-risk-critical-cross-site-scripting-vulnerability-in-roundcube-webmail/

技术支持

长按识别二维码，关注“安全聚”公众号，联系我们的团队技术支持。

【漏洞预警】Roundcube Webmail跨站脚本漏洞（CVE-2024-42009、CVE-2024-42008）

原文始发于微信公众号（安全聚）：【漏洞预警】Roundcube Webmail跨站脚本漏洞（CVE-2024-42009、CVE-2024-42008）

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

【漏洞预警】Roundcube Webmail跨站脚本漏洞（CVE-2024-42009、CVE-2024-42008）

【成功复现】CrushFTP身份认证绕过漏洞（CVE-2025-2825)

宏景人力资源管理系统 searchCreatPlanList.do SQL注入漏洞(CNVD-2025-6953) POC

WordPress未授权任意文件读取_CVE-2025-2294 POC

Fortinet FortiSwitch 任意密码重置 CVE-2024-48887

DataEase H2 JDBC远程代码执行漏洞CVE-2025-32966

金盘移动图书馆系统信息泄露漏洞

Netgear信息泄露漏洞

JeeWMS cgAutoListController.do SQL注入漏洞

泛微E-Cology9前台SQL注入漏洞

OpenSourceMatters Joomla 未授权SQL注入漏洞

发表评论

在线咨询

微信