PT-2024-5497 · Unknown+4 · Roundcube Webmail+4
Oskar Zeino-Mahmalat
·
Publicado
2024-06-18
·
Atualizado
2026-03-12
·
CVE-2024-42009
CVSS v2.0
9.4
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:N |
Nome do software vulnerável e versões afetadas
Versões do Roundcube anteriores à 1.5.8
Versões do Roundcube da 1.6.0 à 1.6.7
Versões do Roundcube anteriores à 1.6.8
Versões do Roundcube anteriores à 1.4.15+dfsg.1-1+deb11u4 (Bullseye)
Versões do Roundcube anteriores à 1.6.5+dfsg-1+deb12u3 (Bookworm)
Versões do Roundcube anteriores à 1.6.6+dfsg-2ubuntu0.1+esm1 (Ubuntu Pro)
Descrição
O webmail Roundcube está afetado por várias vulnerabilidades de cross-site scripting (XSS). Existe uma falha no tratamento da sanitização dentro da função
message body(), permitindo potencialmente que um invasor remoto execute código JavaScript malicioso quando uma mensagem de e-mail manipulada é aberta. A exploração bem-sucedida poderia permitir que um invasor roubasse e enviasse e-mails como outro usuário. Relatórios recentes indicam a exploração ativa da CVE-2024-42009 em campanhas de spear phishing direcionadas a organizações polonesas, com o UNC1151 vinculado a esses ataques. A vulnerabilidade explora um problema de desserialização na função message body(). A função rcmail action mail get->run() também está envolvida no problema de XSS.Recomendações
Versões do Roundcube anteriores à 1.5.8: atualize para a versão 1.5.8 ou posterior.
Versões do Roundcube 1.6.0 a 1.6.7: atualize para a versão 1.6.8 ou posterior.
Versões do Roundcube anteriores à 1.6.6+dfsg-2ubuntu0.1+esm1 (Ubuntu Pro): atualize para a versão 1.6.6+dfsg-2ubuntu0.1+esm1 ou posterior.
Versões do Roundcube anteriores à 1.4.15+dfsg.1-1+deb11u4 (Bullseye): atualize para a versão 1.4.15+dfsg.1-1+deb11u4 ou posterior.
Versões do Roundcube
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Linuxmint
Red Os
Roundcube Webmail
Ubuntu