PT-2020-3644 · Roundcube+4 · Roundcube Webmail+4

Alecpl

·

Publicado

2019-10-03

·

Atualizado

2025-06-23

·

CVE-2020-12625

CVSS v3.1

6.1

Média

VetorAV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Nome do software vulnerável e versões afetadas
Versões do Roundcube Webmail anteriores à 1.4.4
Descrição
O problema está relacionado a uma vulnerabilidade de script entre sites (XSS) no arquivo rcube washtml.php do Roundcube Webmail. Essa vulnerabilidade ocorre porque código JavaScript pode estar presente no CDATA de uma mensagem HTML, permitindo uma possível exploração. A vulnerabilidade pode permitir que um invasor remoto comprometa a integridade dos dados.
Recomendações
Para versões anteriores à 1.4.4, atualize para a versão 1.4.4 ou posterior para resolver o problema. Como solução temporária, considere desativar o arquivo rcube washtml.php até que um patch esteja disponível. Restrinja o acesso ao arquivo vulnerável rcube washtml.php para minimizar o risco de exploração.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

ALT-PU-2019-2818
ALT-PU-2019-2946
ALT-PU-2019-3109
ALT-PU-2020-1898
ALT-PU-2020-2097
ALT-PU-2020-2319
ALT-PU-2020-2367
ALT-PU-2020-2518
ALT-PU-2020-2554
ALT-PU-2020-3561
ALT-PU-2020-3566
ALT-PU-2021-3558
ALT-PU-2022-1073
ALT-PU-2025-1825
ALT-PU-2025-8283
BDU:2020-03992
BIT-ROUNDCUBE-2020-12625
CVE-2020-12625
DSA-4674-1
MGASA-2020-0206
OPENSUSE-SU-2020:1516-1
OPENSUSE-SU-2020_1516-1
USN-5182-1

Produtos afetados

Alt Linux
Linuxmint
Roundcube Webmail
Suse
Ubuntu