Alecpl

**Nome do Software Vulnerável e Versões Afetadas** Roundcube Webmail versões 1.6.0 até 1.6.15 Roundcube Webmail versões 1.7.0 até 1.7.0 **Description** O recurso de bloqueio de imagens remotas pode ser burlado por meio de um valor CSS `var()` manipulado em uma mensagem de e-mail. Essa falha pode levar à divulgação de informações ou ao bypass de controle de acesso. **Recommendations** Atualizar versões 1.6.x para 1.6.16. Atualizar versões 1.7.x para 1.7.1.

**Nome do software vulnerável e versões afetadas** Versões 1.4.13 e anteriores do Roundcube, e versões 1.5.x anteriores à 1.5.2 **Descrição** A vulnerabilidade permite ataques de cross-site scripting (XSS) por meio de sequências de tokens de Cascading Style Sheets (CSS) criadas especificamente para esse fim em mensagens de e-mail em HTML. Isso pode permitir que um invasor remoto realize ataques de cross-site scripting enviando uma mensagem de e-mail especialmente criada. A vulnerabilidade está relacionada à falta de medidas de proteção para a estrutura da página da web ao processar estilos CSS. **Recomendações** Para as versões 1.4.13 e anteriores, atualize para a versão 1.4.13 ou posterior. Para as versões 1.5.x anteriores à 1.5.2, atualize para a versão 1.5.2 ou posterior. Como solução temporária, considere restringir o processamento de estilos CSS em mensagens de e-mail em HTML até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do Roundcube Webmail anteriores à 1.4.4 **Descrição** O problema está relacionado a uma vulnerabilidade de script entre sites (XSS) no arquivo rcube washtml.php do Roundcube Webmail. Essa vulnerabilidade ocorre porque código JavaScript pode estar presente no CDATA de uma mensagem HTML, permitindo uma possível exploração. A vulnerabilidade pode permitir que um invasor remoto comprometa a integridade dos dados. **Recomendações** Para versões anteriores à 1.4.4, atualize para a versão 1.4.4 ou posterior para resolver o problema. Como solução temporária, considere desativar o arquivo `rcube washtml.php` até que um patch esteja disponível. Restrinja o acesso ao arquivo vulnerável `rcube washtml.php` para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** Roundcube versions prior to 1.1.8 Roundcube versions 1.2.x prior to 1.2.4 **Description** The issue allows for a cross-site scripting attack via a crafted Cascading Style Sheets (CSS) token sequence within an SVG element in the rcube utils.php file. **Recommendations** For versions prior to 1.1.8, update to version 1.1.8 or later. For versions 1.2.x prior to 1.2.4, update to version 1.2.4 or later.

**Name of the Vulnerable Software and Affected Versions** Roundcube Webmail version 0.8.0 **Description** A cross-site scripting (XSS) issue allows remote attackers to inject arbitrary web script or HTML by using "javascript:" in an href attribute in the body of an HTML-formatted email. This occurs in the program/lib/washtml.php file. **Recommendations** For Roundcube Webmail version 0.8.0, update to a newer version that contains a fix for this issue. As a temporary workaround, consider restricting the use of HTML-formatted emails to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Roundcube Webmail version 0.8.1 and earlier **Description** The issue is related to a cross-site scripting (XSS) vulnerability. This allows remote attackers to inject arbitrary web script or HTML, specifically via the signature in an email. **Recommendations** For Roundcube Webmail version 0.8.1 and earlier, update to a version later than 0.8.1 to resolve the issue.