PT-2020-6925 · Unknown+4 · Roundcube Webmail+4

Mal

·

Publicado

2019-10-03

·

Atualizado

2026-03-12

·

CVE-2020-12641

CVSS v2.0

10

Crítica

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões do Roundcube Webmail anteriores à 1.4.4
Descrição
A vulnerabilidade existe devido à falta de proteção da estrutura da página web nas funções im convert path e im identify path do arquivo rcube image.php no Roundcube Webmail. Isso permite que um invasor remoto execute código arbitrário por meio de metacaracteres de shell em uma configuração para im convert path ou im identify path.
Recomendações
Para resolver o problema, atualize para a versão 1.4.4 ou posterior.
Como solução temporária, considere desativar as funções im convert path e im identify path no arquivo rcube image.php até que um patch esteja disponível.
Restrinja o acesso ao arquivo rcube image.php para minimizar o risco de exploração.

Exploit

Correção

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-78

Identificadores relacionados

ALT-PU-2019-2818
ALT-PU-2019-2946
ALT-PU-2019-3109
ALT-PU-2020-1898
ALT-PU-2020-2097
ALT-PU-2020-2319
ALT-PU-2020-2367
ALT-PU-2020-2518
ALT-PU-2020-2554
ALT-PU-2020-3561
ALT-PU-2020-3566
ALT-PU-2021-3558
ALT-PU-2022-1073
ALT-PU-2025-1825
ALT-PU-2025-8283
BDU:2023-07518
BIT-ROUNDCUBE-2020-12641
CVE-2020-12641
OPENSUSE-SU-2020:1516-1
OPENSUSE-SU-2020_1516-1
OPENSUSE-SU-2022:10148-1
OPENSUSE-SU-2024:11303-1
USN-5182-1

Produtos afetados

Alt Linux
Linuxmint
Roundcube Webmail
Suse
Ubuntu