ГлавнаяБаза уязвимостей БДУ → BDU:2023-07143
5.5средняя

BDU:2023-07143 (CVE-2023-5631)

Уязвимость библиотеки program/lib/Roundcube/rcube_washtml.php почтового клиента RoundCube Webmail, позволяющая нарушителю выполнить произвольный JavaScript-код
Опубликовано: 2023-10-26
Описание

Уязвимость библиотеки program/lib/Roundcube/rcube_washtml.php почтового клиента RoundCube Webmail существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный JavaScript-код с помощью специально созданного электронного письма

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)RoundCube Webmail (до 1.4.15)RoundCube Webmail (от 1.5.0 до 1.5.5)RoundCube Webmail (от 1.6.0 до 1.6.4)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование антивирусного программного обеспечения с функцией контроля электронной почты для обнаружения вложений, содержащих вредоносное программное обеспечение;
- минимизация пользовательских привилегий при работе с уязвимым программным обеспечением;
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности обращений к уязвимому программному обеспечению.

Использование рекомендаций:

Для Roundcube:
https://roundcube.net/news/2023/10/16/security-update-1.6.4-released
https://roundcube.net/news/2023/10/16/security-updates-1.5.5-and-1.4.15

Для Debian GNU/Linux:
https://www.debian.org/security/2023/dsa-5531
https://security-tracker.debian.org/tracker/CVE-2023-5631

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл5.5 — средняя опасность
Источники и патчи
https://roundcube.net/news/2023/10/16/security-update-1.6.4-releasedhttps://roundcube.net/news/2023/10/16/security-updates-1.5.5-and-1.4.15https://www.debian.org/security/2023/dsa-5531https://github.com/roundcube/roundcubemail/releases/tag/1.4.15https://github.com/roundcube/roundcubemail/releases/tag/1.5.5https://github.com/roundcube/roundcubemail/releases/tag/1.6.4https://securitylab-ru.turbopages.org/securitylab.ru/s/news/543030.phphttps://security-tracker.debian.org/tracker/CVE-2023-5631
Проверьте безопасность своего сайта и почты → Полная проверка домена