PT-2026-29979 · Roundcube+1 · Roundcube Webmail+1
Y0Us
·
Publicado
2026-03-18
·
Atualizado
2026-05-25
·
CVE-2026-35540
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
Name of the Vulnerable Software and Affected Versions
Roundcube Webmail versões 1.6.0 através de 1.6.13
Description
Existe um problema no Roundcube Webmail onde a sanitização insuficiente de Folhas de Estilo em Cascata (CSS) em mensagens de e-mail HTML pode levar a uma Solicitação de Forjamento do Lado do Servidor (SSRF) ou Divulgação de Informações. Isso pode ocorrer se os links da folha de estilo apontarem para hosts de rede locais.
Recommendations
Atualize o Roundcube Webmail para a versão 1.6.14 ou posterior.
Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Red Os
Roundcube Webmail