PT-2021-7305 · Roundcube+3 · Roundcube+3
Alecpl
·
Publicado
2021-12-29
·
Atualizado
2025-01-24
·
CVE-2021-46144
CVSS v2.0
6.4
Média
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões 1.4.13 e anteriores do Roundcube, e versões 1.5.x anteriores à 1.5.2
Descrição
A vulnerabilidade permite ataques de cross-site scripting (XSS) por meio de sequências de tokens de Cascading Style Sheets (CSS) criadas especificamente para esse fim em mensagens de e-mail em HTML. Isso pode permitir que um invasor remoto realize ataques de cross-site scripting enviando uma mensagem de e-mail especialmente criada. A vulnerabilidade está relacionada à falta de medidas de proteção para a estrutura da página da web ao processar estilos CSS.
Recomendações
Para as versões 1.4.13 e anteriores, atualize para a versão 1.4.13 ou posterior.
Para as versões 1.5.x anteriores à 1.5.2, atualize para a versão 1.5.2 ou posterior.
Como solução temporária, considere restringir o processamento de estilos CSS em mensagens de e-mail em HTML até que um patch esteja disponível.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Linuxmint
Roundcube
Ubuntu