2022-2278: Roundcube Webmail: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2022-10-17 12:35)
- Neues Advisory
- Version 2 (2023-06-23 10:27)
- Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die Schwachstelle CVE-2020-12641 in Roundcube Webmail in ihren 'Known Exploited Vulnerabilities Catalog' aufgenommen, da diese aktiv ausgenutzt wird.
- Version 3 (2023-06-23 10:35)
- Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die Schwachstelle CVE-2020-35730 in Roundcube Webmail in ihren 'Known Exploited Vulnerabilities Catalog' aufgenommen, da diese aktiv ausgenutzt wird.
Betroffene Software
Office
Server
Betroffene Plattformen
Linux
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und einen Cross-Site-Scripting (XSS)-Angriff durchzuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.
Für openSUSE Backports SLE 15 SP3 und 15 SP4 stehen Sicherheitsupdates für 'roundcubemail' auf Version 1.5.3 zur Behebung der Schwachstellen zur Verfügung.
Schwachstellen:
CVE-2019-10740
Schwachstelle in Roundcube Webmail ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2020-12641
Schwachstelle in Roundcube Webmail ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-16145
Schwachstelle in Roundcubemail ermöglicht Cross-Site-Scripting-AngriffCVE-2020-35730
Schwachstelle in Roundcube Webmail ermöglicht Cross-Site-Scripting-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.