2024-1342: Roundcube Webmail: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2024-05-21 14:46)
- Neues Advisory
- Version 2 (2024-05-23 08:43)
- Für Fedora 39 und 40 sowie Fedora EPEL 9 stehen Sicherheitsupdates in Form der Pakete 'roundcubemail-1.6.7-1.fc39' und 'roundcubemail-1.6.7-1.fc40' bzw. 'roundcubemail-1.5.7-1.el9' im Status 'testing' bereit, womit ein Update auf die Roundcube Webmail Releases 1.6.7 bzw. 1.5.7 erfolgt.
- Version 3 (2024-10-25 13:20)
- Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die Schwachstelle CVE-2024-37383 in ihren 'Known Exploited Vulnerabilities Catalog' aufgenommen.
Betroffene Software
Office
Server
Betroffene Plattformen
Linux
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen und Cross-Site-Scripting (XSS)-Angriffe durchzuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.
Zur Behebung der Schwachstellen veröffentlicht der Hersteller die Sicherheitsupdates 1.6.7 und 1.5.7.
Schwachstellen:
CVE-2024-37383
Schwachstelle in Roundcube Webmail ermöglicht Cross-Site-Scripting-AngriffCVE-2024-37384
Schwachstelle in Roundcube Webmail ermöglicht Cross-Site-Scripting-AngriffCVE-2024-37385
Schwachstelle in Roundcube Webmail auf Windows ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.