ГлавнаяБаза уязвимостей БДУ → BDU:2023-07518
10критическая

BDU:2023-07518 (CVE-2020-12641)

Уязвимость функций im_convert_path и im_identify_path файла rcube_image.php почтового клиента RoundCube Webmail, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2023-11-08
Описание

Уязвимость функций im_convert_path и im_identify_path файла rcube_image.php почтового клиента RoundCube Webmail существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
OpenSUSE Leap (15.1)OpenSUSE Leap (15.2)openSUSE Backports (SLE-15-SP1)openSUSE Backports (SLE-15-SP2)RoundCube Webmail (от 1.2.0 до 1.2.10)RoundCube Webmail (от 1.3.0 до 1.3.11)RoundCube Webmail (от 1.4.0 до 1.4.4)
Способ устранения

Использование рекомендаций:
Для Roundcube:
https://github.com/roundcube/roundcubemail/commit/fcfb099477f353373c34c8a65c9035b06b364db3

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/message/3FA23YXQFYWKLULMWY4AOGET45U5NWC4/

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://roundcube.net/news/2020/04/29/security-updates-1.4.4-1.3.11-and-1.2.10https://github.com/roundcube/roundcubemail/releases/tag/1.4.4https://github.com/roundcube/roundcubemail/compare/1.4.3...1.4.4https://github.com/roundcube/roundcubemail/commit/fcfb099477f353373c34c8a65c9035b06b364db3https://github.com/DrunkenShells/Disclosures/tree/master/CVE-2020-12641-Command%20Injection-Roundcubehttp://lists.opensuse.org/opensuse-security-announce/2020-09/msg00083.htmlhttps://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv
Проверьте безопасность своего сайта и почты → Полная проверка домена