2020-0914: Roundcube Webmail: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2020-05-04 12:32)
- Neues Advisory
- Version 2 (2023-06-23 10:26)
- Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die Schwachstelle CVE-2020-12641 in Roundcube Webmail in ihren 'Known Exploited Vulnerabilities Catalog' aufgenommen, da diese aktiv ausgenutzt wird.
Betroffene Software
Office
Server
Betroffene Plattformen
Linux
Beschreibung:
Zwei Schwachstellen ermöglichen einem entfernten Angreifer mit üblichen Benutzerrechten das Ausführen beliebigen Programmcodes. Zwei weitere Schwachstellen kann ein entfernter Angreifer ausnutzen, um einen Cross-Site-Scripting (XSS)- oder Denial-of-Service (DoS)-Angriff durchzuführen. Ein erfolgreicher XSS-Angriff erfordert die Interaktion eines Benutzers.
Der Hersteller stellt Roundcube Webmail 1.4.4 als Sicherheitsupdate zur Verfügung.
Für Fedora 30, 31 und 32 stehen Sicherheitsupdates auf diese Version im Status 'testing' bereit.
Schwachstellen:
CVE-2020-12625
Schwachstelle in Roundcube Webmail ermöglicht Cross-Site-Scripting-AngriffCVE-2020-12626
Schwachstelle in Roundcube Webmail ermöglicht Denial-of-Service-AngriffCVE-2020-12640
Schwachstelle in Roundcube Webmail ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-12641
Schwachstelle in Roundcube Webmail ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.