Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2015-12012

Опубликовано: 10 нояб. 2015
Источник: fstec
CVSS2: 3.5
EPSS Низкий

Описание

Уязвимость компонента program/js/app.js почтового клиента RoundCube Webmail операционной системы openSUSE существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимостей может позволить нарушителю, действующему удалённо, осуществить межсайтовое выполнение сценариев через специально сформированное имя файла при загрузке методом drag-n-drop

Вендор

Novell Inc.
The RoundCube Team

Наименование ПО

openSUSE
RoundCube Webmail

Версия ПО

13.1 (openSUSE)
13.1 (openSUSE)
13.1 (openSUSE)
13.2 (openSUSE)
13.2 (openSUSE)
13.2 (openSUSE)
до 1.0.6 включительно (RoundCube Webmail)
от 1.1.0 до 1.1.2 включительно (RoundCube Webmail)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Linux .
Сообщество свободного программного обеспечения Linux .
Apple Inc. MacOS X
Microsoft Corp Windows -
Microsoft Corp Windows -
Apple Inc. MacOS X
Oracle Corp. OpenSolaris .
Oracle Corp. OpenSolaris .

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,5)

Возможные меры по устранению уязвимости

Для устранения уязвимости необходимо использование рекомендаций производителя, доступных по адресу: http://trac.roundcube.net/changeset/dd7db2179/github

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 40%
0.0018
Низкий

3.5 Low

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2015-8105

ubuntu
около 10 лет назад

Cross-site scripting (XSS) vulnerability in program/js/app.js in Roundcube webmail before 1.0.7 and 1.1.x before 1.1.3 allows remote authenticated users to inject arbitrary web script or HTML via the file name in a drag-n-drop file upload.

nvd логотип

CVE-2015-8105

nvd
около 10 лет назад

Cross-site scripting (XSS) vulnerability in program/js/app.js in Roundcube webmail before 1.0.7 and 1.1.x before 1.1.3 allows remote authenticated users to inject arbitrary web script or HTML via the file name in a drag-n-drop file upload.

debian логотип

CVE-2015-8105

debian
около 10 лет назад

Cross-site scripting (XSS) vulnerability in program/js/app.js in Round ...

github логотип

GHSA-v6q4-rvmf-jwq9

github
больше 3 лет назад

Cross-site scripting (XSS) vulnerability in program/js/app.js in Roundcube webmail before 1.0.7 and 1.1.x before 1.1.3 allows remote authenticated users to inject arbitrary web script or HTML via the file name in a drag-n-drop file upload.

EPSS

Процентиль: 40%
0.0018
Низкий

3.5 Low

CVSS2