ГлавнаяБаза уязвимостей БДУ → BDU:2023-06297
6.4средняя

BDU:2023-06297

Уязвимость компонента program/lib/Roundcube/rcube_string_replacer.php почтового клиента RoundCube Webmail, позволяющая нарушителю провести атаку межсайтового скриптинга
Опубликовано: 2023-10-04
Описание

Уязвимость компонента program/lib/Roundcube/rcube_string_replacer.php почтового клиента RoundCube Webmail существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, провести атаку межсайтового скриптинга (XSS)

Затрагиваемое ПО и версии
Debian GNU/Linux (10)РЕД ОС (7.3)RoundCube Webmail (до 1.4.14)RoundCube Webmail (от 1.5.0 до 1.5.4)RoundCube Webmail (от 1.6.0 до 1.6.3)
Способ устранения

Использование рекомендаций:
Для Roundcube:
https://roundcube.net/news/2023/09/15/security-update-1.6.3-released

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2023/09/msg00024.html

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
https://github.com/roundcube/roundcubemail/commit/e92ec206a886461245e1672d8530cc93c618a49bhttps://lists.debian.org/debian-lts-announce/2023/09/msg00024.htmlhttps://roundcube.net/news/2023/09/15/security-update-1.6.3-releasedhttps://vuldb.com/ru/?id.240201https://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv
Проверьте безопасность своего сайта и почты → Полная проверка домена