Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-04501

Опубликовано: 12 авг. 2020
Источник: fstec
CVSS3: 6.1
CVSS2: 5.8
EPSS Низкий

Описание

Уязвимость функции wash_uri (rcube_washtml.php) почтового клиента RoundCube Webmail связана с недостатками используемых мер по защите структур веб-страницы. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, нарушить целостность данных

Вендор

Сообщество свободного программного обеспечения
Novell Inc.
Fedora Project
The RoundCube Team
АО «ИВК»

Наименование ПО

Debian GNU/Linux
OpenSUSE Leap
Fedora
RoundCube Webmail
Альт 8 СП

Версия ПО

9 (Debian GNU/Linux)
15.1 (OpenSUSE Leap)
8 (Debian GNU/Linux)
10 (Debian GNU/Linux)
31 (Fedora)
32 (Fedora)
15.2 (OpenSUSE Leap)
до 1.4.8 включительно (RoundCube Webmail)
- (Альт 8 СП)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Novell Inc. OpenSUSE Leap 15.1
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Fedora Project Fedora 31
Fedora Project Fedora 32
Novell Inc. OpenSUSE Leap 15.2
АО «ИВК» Альт 8 СП -

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для roundcube:
Обновление программного обеспечения до 1.4.8+dfsg.1-1 или более поздней версии
Для Debian:
Обновление программного обеспечения (пакета roundcube) до 1.3.15+dfsg.1-1~deb10u1 или более поздней версии
Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-09/msg00083.html
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OBLUQRIBAMEQVBO6GUZECCHJDJIWCYFU/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/3DAXK3565NYK4OEZVTW6S5LEVIDQEY2E/
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 72%
0.00704
Низкий

6.1 Medium

CVSS3

5.8 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-16145

CVSS3: 6.1
ubuntu
больше 5 лет назад

Roundcube Webmail before 1.3.15 and 1.4.8 allows stored XSS in HTML messages during message display via a crafted SVG document. This issue has been fixed in 1.4.8 and 1.3.15.

nvd логотип

CVE-2020-16145

CVSS3: 6.1
nvd
больше 5 лет назад

Roundcube Webmail before 1.3.15 and 1.4.8 allows stored XSS in HTML messages during message display via a crafted SVG document. This issue has been fixed in 1.4.8 and 1.3.15.

debian логотип

CVE-2020-16145

CVSS3: 6.1
debian
больше 5 лет назад

Roundcube Webmail before 1.3.15 and 1.4.8 allows stored XSS in HTML me ...

github логотип

GHSA-fjwm-m9vj-wvr8

CVSS3: 6.1
github
больше 3 лет назад

Roundcube Webmail before 1.4.8 allows stored XSS in HTML messages during message display via a crafted SVG document.

suse-cvrf логотип

openSUSE-SU-2022:10148-1

suse-cvrf
больше 3 лет назад

Security update for roundcubemail

EPSS

Процентиль: 72%
0.00704
Низкий

6.1 Medium

CVSS3

5.8 Medium

CVSS2