PT-2020-3640 · Roundcube+3 · Roundcube Webmail+3

Lorexxar

Publicado

2019-11-09

Atualizado

2025-11-04

CVE-2020-13965

CVSS v3.1

6.3

Média

Vetor

AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

Nome do software vulnerável e versões afetadas

Versões do Roundcube Webmail anteriores à 1.3.12

Versões do Roundcube Webmail 1.4.x anteriores à 1.4.5

Descrição

O problema está relacionado a medidas de proteção insuficientes para as estruturas das páginas da web no Roundcube Webmail, permitindo que um invasor remoto comprometa a integridade dos dados. Existe uma vulnerabilidade de Cross-Site Scripting (XSS) por meio de um anexo XML malicioso, já que o formato text/xml está entre os tipos permitidos para visualização.

Recomendações

Para versões anteriores à 1.3.12, atualize para a versão 1.3.12 ou posterior.

Para versões 1.4.x anteriores à 1.4.5, atualize para a versão 1.4.5 ou posterior.

Como solução temporária, considere restringir os tipos permitidos para visualização, excluindo text/xml, até que um patch esteja disponível.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-80CWE-79

Identificadores relacionados

ALT-PU-2019-3109

ALT-PU-2020-1898

ALT-PU-2020-2097

ALT-PU-2020-2319

ALT-PU-2020-2367

ALT-PU-2020-2518

ALT-PU-2020-2554

ALT-PU-2020-3561

ALT-PU-2020-3566

ALT-PU-2021-3558

ALT-PU-2022-1073

ALT-PU-2025-1825

ALT-PU-2025-8283

BDU:2020-03988

BIT-ROUNDCUBE-2020-13965

CVE-2020-13965

DSA-4700-1

MGASA-2020-0261

USN-5182-1

Produtos afetados

Alt Linux

Linuxmint

Roundcube Webmail

Ubuntu

PT-2020-3640 · Roundcube+3 · Roundcube Webmail+3

CVE-2020-13965

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 55