Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-05555

Опубликовано: 29 дек. 2021
Источник: fstec
CVSS3: 6.1
CVSS2: 6.4
EPSS Низкий

Описание

Уязвимость почтового клиента Roundcube связана с непринятием мер по защите структуры веб-страницы при обработке таблиц стилей CSS. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить межсайтовые сценарные атаки путем отправки специально созданного сообщения электронной почты

Вендор

Сообщество свободного программного обеспечения
Thomas Brderli

Наименование ПО

Debian GNU/Linux
Roundcube

Версия ПО

9 (Debian GNU/Linux)
10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
от 1.5.0 до 1.5.2 (Roundcube)
до 1.4.13 (Roundcube)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Roundcube:
https://roundcube.net/news/2021/12/30/update-1.5.2-released
https://github.com/roundcube/roundcubemail/commit/8894fddd59b770399eed4ef8d4da5773913b5bf0
https://github.com/roundcube/roundcubemail/commit/b2400a4b592e3094b6c84e6000d512f99ae0eed8
Для Debian:
https://www.debian.org/security/2022/dsa-5037
https://lists.debian.org/debian-lts-announce/2022/01/msg00005.html
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1003027

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 77%
0.01055
Низкий

6.1 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-46144

CVSS3: 6.1
ubuntu
около 4 лет назад

Roundcube before 1.4.13 and 1.5.x before 1.5.2 allows XSS via an HTML e-mail message with crafted Cascading Style Sheets (CSS) token sequences.

nvd логотип

CVE-2021-46144

CVSS3: 6.1
nvd
около 4 лет назад

Roundcube before 1.4.13 and 1.5.x before 1.5.2 allows XSS via an HTML e-mail message with crafted Cascading Style Sheets (CSS) token sequences.

debian логотип

CVE-2021-46144

CVSS3: 6.1
debian
около 4 лет назад

Roundcube before 1.4.13 and 1.5.x before 1.5.2 allows XSS via an HTML ...

github логотип

GHSA-8373-wxqf-ph2h

CVSS3: 6.1
github
около 4 лет назад

Roundcube before 1.4.13 and 1.5.x before 1.5.2 allows XSS via an HTML e-mail message with crafted Cascading Style Sheets (CSS) token sequences.

EPSS

Процентиль: 77%
0.01055
Низкий

6.1 Medium

CVSS3

6.4 Medium

CVSS2