來源:TechWeb.com.cn
Roundcube是一款被廣泛使用的開源的Web電子郵件程序,在全球範圍內有很多組織和公司都在使用。Roundcube Webmail在Linux中最常用,它提供了基於Web瀏覽器的可換膚IMAP客戶端,並提供多種語言。功能包括MIME支持,通訊簿,文件夾和郵件搜索功能。Roundcube支持各種郵件協議,如IMAPS、POP3S 或者 submission,可以管理多個郵箱帳號.
不過,7月21日,Roundcube發布了有關跨站點腳本漏洞(代號CVE-2020-15562)的通報,該通報是Roundcube穩定版1.4和LTS 1.3和1.2中存在的漏洞。7月22日,Roundcube針對此漏洞發布了緊急安全更新,同時也修復了先前遺留的一個安全漏洞(參數注入漏洞CVE-2020-12641)。以下是漏洞詳情:
參數注入漏洞CVE-2020-12641
該漏洞主要存在於Roundcube Webmail 1.4.4之前版本中的rcube_image.php文件中。攻擊者可藉助shell元字符利用該漏洞執行任意代碼。
受影響版本
Roundcube Webmail 1.2.11之前的版本,1.3.12之前的1.3.x版本,1.4.5之前的1.4.x版本
修復漏洞
該漏洞已在Roundcube 1.4.7、1.3.14和1.2.11中修復。建議儘快升級到最新版,增強安全性!
跨站點腳本漏洞CVE-2020-15562
該漏洞源於WEB應用缺少對客戶端數據的正確驗證。攻擊者可利用該漏洞執行客戶端代碼。
Roundcube使用Washtml HTML清理程序的自定義版本在電子郵件中顯示不受信任的HTML代碼。其中一個修改是為svg標記包含一個異常,以正確處理XML命名空間。但是,處理協議中的漏洞會導致清理檢查失敗。這可以通過JavaScript負載濫用命名空間屬性進行攻擊。例如通過包含HTML onload事件的惡意電子郵件來利用此漏洞。如果觸發,則可能導致存儲的XSS攻擊。
XSS(跨站腳本)攻擊通常指的是通過利用網頁開發時留下的漏洞,通過巧妙的方法注入惡意指令代碼到網頁,使用戶加載並執行攻擊者惡意製造的網頁程序。這些惡意網頁程序通常是JavaScript,但實際上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻擊成功後,攻擊者可能得到包括但不限於更高的權限(如執行一些操作)、私密網頁內容、會話和cookie等各種內容。
成功的攻擊允許在經過身份驗證的受害者會話的上下文中執行任意JavaScript代碼,從而基本上模擬了登錄的用戶。這賦予了攻擊者與合法用戶相同的權力,包括但不限於:閱讀和刪除郵件,代表受害者發送電子郵件,訪問地址列表,以及進行垃圾郵件運動。攻擊者可以從個人信件中獲取其他敏感信息,這些信息可能使惡意行為者能夠訪問外部服務,例如純文本憑據和確認電子郵件。
受影響版本
Roundcube Webmail 1.2.11之前版本、1.3.14之前的1.3.x版本和1.4.7之前的1.4.x版本中存在跨站腳本漏洞。
修復漏洞
該漏洞已在Roundcube 1.4.7、1.3.14和1.2.11中修復。建議儘快升級到最新版,增強安全性!
目前廠商已發布升級補丁以修復漏洞,補丁獲取連結:
https://roundcube.net/news/2020/07/05/security-updates-1.4.7-1.3.14-and-1.2.11