ГлавнаяБаза уязвимостей БДУ → BDU:2024-05164
5средняя

BDU:2024-05164 (CVE-2024-37384)

Уязвимость почтового клиента RoundCube Webmail, связанная с недостаточной защитой структуры веб-страницы, позволяющая нарушителю проводить межсайтовые сценарные атаки
Опубликовано: 2024-07-10
Описание

Уязвимость почтового клиента RoundCube Webmail связана с недостаточной защитой структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить межсайтовые сценарные атаки с помощью столбцов списка из пользовательских настроек

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Ubuntu (20.04 LTS)Ubuntu (16.04 ESM)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Ubuntu (22.04 LTS)Ubuntu (18.04 ESM)Ubuntu (23.10)RoundCube Webmail (до 1.5.7)RoundCube Webmail (от 1.6.0 до 1.6.7)
Способ устранения

Использование рекомендаций:
Для RoundCube Webmail:
https://github.com/roundcube/roundcubemail/commit/cde4522c5c95f13c6aeeb1600ab17e5067a536f7
https://github.com/roundcube/roundcubemail/commit/9ca8aa6680c579132e0d1fa59447df8d524ec91c
https://github.com/roundcube/roundcubemail/releases/tag/1.6.7
https://github.com/roundcube/roundcubemail/releases/tag/1.5.7

Для Ред ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-37384

Для Ubuntu:
https://ubuntu.com/security/notices/USN-6848-1

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-roundcubemail-cve-2024-37384-cve-2024-37383/https://security-tracker.debian.org/tracker/CVE-2024-37384https://ubuntu.com/security/notices/USN-6848-1https://github.com/roundcube/roundcubemail/commit/cde4522c5c95f13c6aeeb1600ab17e5067a536f7https://github.com/roundcube/roundcubemail/commit/9ca8aa6680c579132e0d1fa59447df8d524ec91c
Проверьте безопасность своего сайта и почты → Полная проверка домена