ГлавнаяБаза уязвимостей БДУ → BDU:2015-12012
3.5средняя

BDU:2015-12012

Уязвимость почтового клиента RoundCube Webmail операционной системы openSUSE, позволяющая нарушителю осуществить межсайтовое выполнение сценариев
Опубликовано: 2015-11-26
Описание

Уязвимость компонента program/js/app.js почтового клиента RoundCube Webmail операционной системы openSUSE существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимостей может позволить нарушителю, действующему удалённо, осуществить межсайтовое выполнение сценариев через специально сформированное имя файла при загрузке методом drag-n-drop

Затрагиваемое ПО и версии
openSUSE (13.1)openSUSE (13.2)RoundCube Webmail (до 1.0.6 включительно)RoundCube Webmail (от 1.1.0 до 1.1.2 включительно)
Способ устранения

Для устранения уязвимости необходимо использование рекомендаций производителя, доступных по адресу: http://trac.roundcube.net/changeset/dd7db2179/github

Оценка CVSS
Балл3.5 — средняя опасность
Источники и патчи
http://trac.roundcube.net/ticket/1490530http://trac.roundcube.net/changeset/dd7db2179/githubhttp://lists.opensuse.org/opensuse-updates/2015-11/msg00030.html
Проверьте безопасность своего сайта и почты → Полная проверка домена