2020-1763: Roundcube Webmail: Mehrere Schwachstellen ermöglichen Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2020-08-11 18:26)

Neues Advisory

Version 2 (2020-08-12 11:27)

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'roundcube' auf Version 1.2.3+dfsg.1-4+deb9u7 zur Behebung der Schwachstellen zur Verfügung.

Version 3 (2020-08-12 14:51)

Debian veröffentlicht für die stabile Distribution Buster ein Sicherheitsupdate für 'roundcube' in Form der Version 1.3.15+dfsg.1-1~deb10u1, um die Schwachstelle zu beheben.

Betroffene Software

Office
Server

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in Roundcube Webmail ermöglichen einem entfernten Angreifer die Durchführung von Cross-Site-Scripting (XSS)-Angriffen. Ein erfolgreicher Angriff erfordert die Interaktion eines Benutzers.

Der Hersteller informiert über die Schwachstellen und stellt die Versionen 1.2.12 LTS, 1.3.15 LTS und 1.4.8 bereit, um die Schwachstellen zu beheben. Die Schwachstelle ROUNDCUBE-WEBMAIL-1-4-8-A betrifft nur die Version 1.4.7

Für Fedora 31 und 32 stehen Sicherheitsupdates auf Version 1.4.8 bereit, welche sich derzeit noch im Status 'pending' befinden.

Schwachstellen:

CVE-2020-16145

Schwachstelle in Roundcubemail ermöglicht Cross-Site-Scripting-Angriff

ROUNDCUBE-WEBMAIL-1-4-8-A

Schwachstelle in Roundcubemail ermöglicht Cross-Site-Scripting-Angriff

ROUNDCUBE-WEBMAIL-1-4-8-C

Schwachstelle in Roundcubemail ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.