PT-2020-3643 · Roundcube+3 · Roundcube Webmail+3

Xudongzheng

·

Publicado

2020-04-30

·

Atualizado

2024-03-06

·

CVE-2020-12626

CVSS v2.0

7.1

Alta

VetorAV:N/AC:M/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões do Roundcube Webmail anteriores à 1.4.4
Descrição
O problema está relacionado a um ataque CSRF que pode fazer com que um usuário autenticado seja desconectado. Isso ocorre porque o método POST não foi levado em consideração, resultando em proteção insuficiente contra falsificação de solicitações entre sites. A exploração dessa vulnerabilidade pode permitir que um invasor remoto provoque uma negação de serviço.
Recomendações
Para versões anteriores à 1.4.4, atualize para a versão 1.4.4 ou posterior para resolver o problema. Como solução temporária, considere implementar medidas adicionais de proteção contra CSRF para minimizar o risco de exploração.

Exploit

Correção

CSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-352

Identificadores relacionados

ALT-PU-2020-1898
ALT-PU-2020-2367
BDU:2020-03991
BIT-ROUNDCUBE-2020-12626
CVE-2020-12626
DSA-4674-1
MGASA-2020-0206
USN-5182-1

Produtos afetados

Alt Linux
Linuxmint
Roundcube Webmail
Ubuntu