Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-07143

Опубликовано: 16 окт. 2023
Источник: fstec
CVSS3: 5.4
CVSS2: 5.5
EPSS Критический

Описание

Уязвимость библиотеки program/lib/Roundcube/rcube_washtml.php почтового клиента RoundCube Webmail существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный JavaScript-код с помощью специально созданного электронного письма

Вендор

Сообщество свободного программного обеспечения
ООО «Ред Софт»
The RoundCube Team

Наименование ПО

Debian GNU/Linux
РЕД ОС
RoundCube Webmail

Версия ПО

10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
до 1.4.15 (RoundCube Webmail)
от 1.5.0 до 1.5.5 (RoundCube Webmail)
от 1.6.0 до 1.6.4 (RoundCube Webmail)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,4)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование антивирусного программного обеспечения с функцией контроля электронной почты для обнаружения вложений, содержащих вредоносное программное обеспечение;
- минимизация пользовательских привилегий при работе с уязвимым программным обеспечением;
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности обращений к уязвимому программному обеспечению.
Использование рекомендаций:
Для Roundcube:
https://roundcube.net/news/2023/10/16/security-update-1.6.4-released
https://roundcube.net/news/2023/10/16/security-updates-1.5.5-and-1.4.15
Для Debian GNU/Linux:
https://www.debian.org/security/2023/dsa-5531
https://security-tracker.debian.org/tracker/CVE-2023-5631
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.90987
Критический

5.4 Medium

CVSS3

5.5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-5631

CVSS3: 6.1
ubuntu
больше 1 года назад

Roundcube before 1.4.15, 1.5.x before 1.5.5, and 1.6.x before 1.6.4 allows stored XSS via an HTML e-mail message with a crafted SVG document because of program/lib/Roundcube/rcube_washtml.php behavior. This could allow a remote attacker to load arbitrary JavaScript code.

nvd логотип

CVE-2023-5631

CVSS3: 6.1
nvd
больше 1 года назад

Roundcube before 1.4.15, 1.5.x before 1.5.5, and 1.6.x before 1.6.4 allows stored XSS via an HTML e-mail message with a crafted SVG document because of program/lib/Roundcube/rcube_washtml.php behavior. This could allow a remote attacker to load arbitrary JavaScript code.

debian логотип

CVE-2023-5631

CVSS3: 6.1
debian
больше 1 года назад

Roundcube before 1.4.15, 1.5.x before 1.5.5, and 1.6.x before 1.6.4 al ...

suse-cvrf логотип

openSUSE-SU-2023:0345-1

suse-cvrf
больше 1 года назад

Security update for roundcubemail

redos логотип

ROS-20231025-01

CVSS3: 5.4
redos
больше 1 года назад

Уязвимость Roundcube

EPSS

Процентиль: 100%
0.90987
Критический

5.4 Medium

CVSS3

5.5 Medium

CVSS2