PT-2023-5637 · Roundcube+4 · Roundcube+4

Niraj Shivtarkar

Publicado

2019-11-09

Atualizado

2026-04-10

CVE-2023-43770

CVSS v2.0

6.4

Média

Vetor

AV:N/AC:L/Au:N/C:P/I:P/A:N

Name of the Vulnerable Software and Affected Versions: Roundcube versões anteriores a 1.4.14, 1.5.x anteriores a 1.5.4 e 1.6.x anteriores a 1.6.3.

Description: Roundcube Webmail contém uma vulnerabilidade de scripting cross-site (XSS) no componente rcube string replacer.php devido à sanitização insuficiente de caracteres em mensagens de e-mail text/plain. Isso permite que um invasor remoto execute código JavaScript arbitrário no contexto do navegador da vítima. A vulnerabilidade está sendo ativamente explorada na natureza, com relatos de exploração pelo ator de ameaças Winter Vivern. A CISA adicionou esta vulnerabilidade (CVE-2023-43770) ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas.

Recommendations: Atualize o Roundcube para a versão 1.4.14 ou posterior. Atualize o Roundcube para a versão 1.5.4 ou posterior. Atualize o Roundcube para a versão 1.6.3 ou posterior.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

ALT-PU-2019-3109

ALT-PU-2020-1898

ALT-PU-2020-2367

ALT-PU-2021-3558

ALT-PU-2022-1073

ALT-PU-2023-6826

ALT-PU-2025-1825

ALT-PU-2025-8283

BDU:2023-06297

BIT-ROUNDCUBE-2023-43770

CVE-2023-43770

DLA-3577-1

USN-6654-1

Produtos afetados

Alt Linux

Linuxmint

Red Os

Roundcube

Ubuntu

PT-2023-5637 · Roundcube+4 · Roundcube+4

CVE-2023-43770

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 103