ГлавнаяБаза уязвимостей БДУ → BDU:2022-05555
6.4средняя

BDU:2022-05555 (CVE-2021-46144)

Уязвимость почтового клиента Roundcube, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю проводить межсайтовые сценарные атаки
Опубликовано: 2022-09-07
Описание

Уязвимость почтового клиента Roundcube связана с непринятием мер по защите структуры веб-страницы при обработке таблиц стилей CSS. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить межсайтовые сценарные атаки путем отправки специально созданного сообщения электронной почты

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Debian GNU/Linux (10)Debian GNU/Linux (11)Roundcube (от 1.5.0 до 1.5.2)Roundcube (до 1.4.13)
Способ устранения

Использование рекомендаций:
Для Roundcube:
https://roundcube.net/news/2021/12/30/update-1.5.2-released
https://github.com/roundcube/roundcubemail/commit/8894fddd59b770399eed4ef8d4da5773913b5bf0
https://github.com/roundcube/roundcubemail/commit/b2400a4b592e3094b6c84e6000d512f99ae0eed8

Для Debian:
https://www.debian.org/security/2022/dsa-5037
https://lists.debian.org/debian-lts-announce/2022/01/msg00005.html
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1003027

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
https://bugs.debian.org/1003027https://github.com/roundcube/roundcubemail/commit/8894fddd59b770399eed4ef8d4da5773913b5bf0https://github.com/roundcube/roundcubemail/commit/b2400a4b592e3094b6c84e6000d512f99ae0eed8https://lists.debian.org/debian-lts-announce/2022/01/msg00005.htmlhttps://roundcube.net/news/2021/12/30/security-update-1.4.13-releasedhttps://roundcube.net/news/2021/12/30/update-1.5.2-releasedhttps://www.debian.org/security/2022/dsa-5037https://nvd.nist.gov/vuln/detail/cve-2021-46144
Проверьте безопасность своего сайта и почты → Полная проверка домена