2020-1165: Roundcube Webmail: Mehrere Schwachstellen ermöglichen Cross-Site-Scripting-Angriffe
Historie:
- Version 1 (2020-06-04 10:56)
- Neues Advisory
- Version 2 (2020-06-11 19:42)
- Der Hersteller veröffentlicht Roundcube Webmail 1.4.6, um eine Regression in der SMTP-Test-Sektion zu beheben. Für Fedora 31 und 32 stehen Sicherheitsupdates auf diese Version im Status 'pending' bereit. Die früheren Sicherheitsupdates zur Behebung der Schwachstellen befinden sich im Status 'obsolete' (Referenzen hier entfernt). Für Debian 9 Stretch (oldstable) steht die Paketversion 1.2.3+dfsg.1-4+deb9u5 und für Debian 10 Buster (stable) die Paketversion 1.3.13+dfsg.1-1~deb10u1 als Sicherheitsupdate für 'roundcube' zur Verfügung.
- Version 3 (2024-06-27 15:12)
- Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die Schwachstelle CVE-2020-13965 in ihren 'Known Exploited Vulnerabilities Catalog' aufgenommen.
Betroffene Software
Office
Server
Betroffene Plattformen
Linux
Beschreibung:
Mehrere Schwachstellen in Roundcube Webmail ermöglichen einem entfernten Angreifer die Durchführung von Cross-Site-Scripting (XSS)-Angriffen. Ein erfolgreicher Angriff erfordert die Interaktion eines Benutzers.
Der Hersteller informiert über die Schwachstellen und stellt die Versionen 1.4.5 und 1.3.12 (LTS) bereit, um die Schwachstellen zu beheben. Hiermit erfolgt auch eine verbesserte Behebung der bereits mit Roundcube Webmail 1.4.4 adressierten Schwachstelle CVE-2020-12641, welche einem entfernten Angreifer mit üblichen Benutzerrechten das Ausführen beliebigen Programmcodes ermöglicht.
Für Fedora 31 und 32 stehen Sicherheitsupdates auf Version 1.4.5 im Status 'testing' zur Verfügung.
Schwachstellen:
CVE-2020-13964
Schwachstelle in Roundcube Webmail ermöglicht Cross-Site-Scripting-AngriffCVE-2020-13965
Schwachstelle in Roundcube Webmail ermöglicht Cross-Site-Scripting-AngriffROUNDCUBEMAIL-1-4-5-C
Schwachstellen in Roundcube Webmail ermöglichen Cross-Site-Scripting-Angriffe
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.