Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-06297

Опубликовано: 22 сент. 2023
Источник: fstec
CVSS3: 6.1
CVSS2: 6.4
EPSS Высокий

Описание

Уязвимость компонента program/lib/Roundcube/rcube_string_replacer.php почтового клиента RoundCube Webmail существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, провести атаку межсайтового скриптинга (XSS)

Вендор

Сообщество свободного программного обеспечения
ООО «Ред Софт»
The RoundCube Team

Наименование ПО

Debian GNU/Linux
РЕД ОС
RoundCube Webmail

Версия ПО

10 (Debian GNU/Linux)
7.3 (РЕД ОС)
до 1.4.14 (RoundCube Webmail)
от 1.5.0 до 1.5.4 (RoundCube Webmail)
от 1.6.0 до 1.6.3 (RoundCube Webmail)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Roundcube:
https://roundcube.net/news/2023/09/15/security-update-1.6.3-released
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2023/09/msg00024.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 99%
0.7517
Высокий

6.1 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20240613-03

CVSS3: 6.1
redos
около 1 года назад

Уязвимость roundcubemail

ubuntu логотип

CVE-2023-43770

CVSS3: 6.1
ubuntu
почти 2 года назад

Roundcube before 1.4.14, 1.5.x before 1.5.4, and 1.6.x before 1.6.3 allows XSS via text/plain e-mail messages with crafted links because of program/lib/Roundcube/rcube_string_replacer.php behavior.

nvd логотип

CVE-2023-43770

CVSS3: 6.1
nvd
почти 2 года назад

Roundcube before 1.4.14, 1.5.x before 1.5.4, and 1.6.x before 1.6.3 allows XSS via text/plain e-mail messages with crafted links because of program/lib/Roundcube/rcube_string_replacer.php behavior.

debian логотип

CVE-2023-43770

CVSS3: 6.1
debian
почти 2 года назад

Roundcube before 1.4.14, 1.5.x before 1.5.4, and 1.6.x before 1.6.3 al ...

github логотип

GHSA-g3fv-4f2h-xwv4

CVSS3: 6.1
github
почти 2 года назад

Roundcube before 1.4.14, 1.5.x before 1.5.4, and 1.6.x before 1.6.3 allows XSS via text/plain e-mail messages with crafted links because of program/lib/Roundcube/rcube_string_replacer.php behavior.

EPSS

Процентиль: 99%
0.7517
Высокий

6.1 Medium

CVSS3

6.4 Medium

CVSS2