CVE-2020-13965

Roundcube Webmail Cross-Site Scripting (XSS) Sérülékenység
Angol cím: Roundcube Webmail Cross-Site Scripting (XSS) Vulnerability

Publikálás dátuma: 2020.06.08.
Utolsó módosítás dátuma: 2024.06.27.


Leírás

A termék nem semlegesíti, vagy helytelenül semlegesíti a felhasználó által befolyásolható bemenetet, mielőtt azt olyan kimenetbe helyezné, amelyet weboldalként szolgáltatnak más felhasználóknak.

Leírás forrása: CWE-79 Leírás utolsó módosítása: 2024.06.27.


Elemzés leírás

Eredeti nyelven:

An issue was discovered in Roundcube Webmail before 1.3.12 and 1.4.x before 1.4.5. There is XSS via a malicious XML attachment because text/xml is among the allowed types for a preview.

Elemzés leírás forrása: CVE-2020-13965 Elemzés leírás utolsó módosítása: 2024.06.27.


Hatás

CVSS3.1 Súlyosság és Metrika

Alap pontszám: 6.1 (Közepes)
Vektor: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Hatás pontszáma: 2.7
Kihasználhatóság pontszáma: 2.8


Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Szükséges
Hatókör (S): Változott
Bizalmasság Hatása (C): Alacsony
Sértetlenség Hatása (I): Alacsony
Rendelkezésre állás Hatása (A): Nincs

Következmények

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Hivatkozások

github.com
github.com
github.com

Sérülékeny szoftverek

Roundcube Webmail 1.3.12-es verziók előtt és 1.4.x 1.4.5 előtt.


Legfrissebb sérülékenységek
WinZip Mark-of-the-Web kezelési sérülékenysége – WinZip Mark-of-the-Web kezelési sérülékenysége
CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége
CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége
CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége
CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége
CVE-2024-10224 – Linux ScanDeps sérülékenysége
CVE-2024-11003 – Linux needrestart sérülékenysége
CVE-2024-48992 – Linux needrestart sérülékenysége
CVE-2024-48991 – Linux needrestart sérülékenysége
CVE-2024-48990 – Linux needrestart sérülékenysége
Tovább a sérülékenységekhez »