ГлавнаяБаза уязвимостей БДУ → BDU:2024-06254
6.4средняя

BDU:2024-06254 (CVE-2024-42008)

Уязвимость функции rcmail_action_mail_get->run() почтового клиента RoundCube Webmail, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS)
Опубликовано: 2024-08-16
Описание

Уязвимость функции rcmail_action_mail_get->run() почтового клиента RoundCube Webmail существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, провести атаку межсайтового скриптинга (XSS) путем отправки специально созданных вредоносных вложений

Затрагиваемое ПО и версии
openSUSE TumbleweedDebian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)RoundCube Webmail (от 1.6.0 до 1.6.8)RoundCube Webmail (до 1.5.8)
Способ устранения

Использование рекомендаций:
Для Roundcube Webmail:
https://github.com/roundcube/roundcubemail/releases
https://github.com/roundcube/roundcubemail/releases/tag/1.5.8
https://github.com/roundcube/roundcubemail/releases/tag/1.6.8
https://roundcube.net/news/2024/08/04/security-updates-1.6.8-and-1.5.8

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-42008

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-42008.html

Компенсирующие меры:
- использование средств антивирусной защиты с функционалом контроля электронной почты для отслеживания попыток эксплуатации уязвимости;
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к программному продукту;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
https://github.com/roundcube/roundcubemail/releaseshttps://github.com/roundcube/roundcubemail/releases/tag/1.5.8https://github.com/roundcube/roundcubemail/releases/tag/1.6.8https://roundcube.net/news/2024/08/04/security-updates-1.6.8-and-1.5.8https://www.tenable.com/cve/CVE-2024-42008https://security-tracker.debian.org/tracker/CVE-2024-42008https://www.suse.com/security/cve/CVE-2024-42008.htmlhttps://www.sonarsource.com/blog/government-emails-at-risk-critical-cross-site-scripting-vulnerability-in-roundcube-webmail/
Проверьте безопасность своего сайта и почты → Полная проверка домена