2021-2180: Roundcube Webmail: Mehrere Schwachstellen ermöglichen u. a. die Injektion von SQL-Programmcode

Historie:

Version 1 (2021-10-19 16:30)

Neues Advisory

Version 2 (2021-11-16 18:49)

Der Hersteller hat nun auch Roundcube Webmail Version 1.4.12 zur Verfügung gestellt, um die Cross-Site-Scripting (XSS)- und die SQL-Injection-Schwachstelle zu beheben. Für Fedora 34 steht ein Sicherheitsupdate auf Version 1.4.12 im Status 'testing' bereit.

Version 3 (2021-11-17 11:04)

Für Fedora 33 steht ebenfalls ein Sicherheitsupdate auf Version 1.4.12 im Status 'testing' bereit.

Version 4 (2021-11-19 11:52)

Der Hersteller hat auch Roundcube Webmail Version 1.3.17 zur Verfügung gestellt, um die Cross-Site-Scripting (XSS)- und die SQL-Injection-Schwachstelle zu beheben.

Version 5 (2021-11-29 08:41)

Für Debian 10 Buster (oldstable) steht Version 1.3.17+dfsg.1-1~deb10u1 und für Debian 11 Bullseye (stable) steht Version 1.4.12+dfsg.1-1~deb11u1 von 'roundcube' bereit, um die Schwachstellen zu beheben.

Version 6 (2021-12-07 09:53)

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'roundcube' auf Version 1.2.3+dfsg.1-4+deb9u9 bereit, um die Schwachstellen zu beheben.

Version 7 (2023-06-23 09:54)

Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die Schwachstelle CVE-2021-44026 in Roundcube Webmail in ihren 'Known Exploited Vulnerabilities Catalog' aufgenommen, da diese aktiv ausgenutzt wird.

Betroffene Software

Office
Server

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen SQL-Programmcode zur Ausführung zu bringen, einen Cross-Site-Scripting (XSS)-Angriff und nicht spezifizierte Angriffe durchzuführen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers.

Der Hersteller informiert über die Schwachstellen und stellt die Roundcube Webmail Version 1.5.0 bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2021-44025

Schwachstelle in Roundcube Webmail ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-44026

Schwachstelle in Roundcube Webmail ermöglicht SQL-Injection

ROUNDCUBEMAIL-1-5-0-C

Schwachstelle in Roundcube Webmail ermöglicht nicht spezifizierte Angriffe

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.