Roundcube Webmail Cross-Site Scripting (XSS) Sérülékenység
Angol cím: Roundcube Webmail Cross-Site Scripting (XSS) Vulnerability
Publikálás dátuma: 2020.06.08.
Utolsó módosítás dátuma: 2024.06.27.
Leírás
A termék nem semlegesíti, vagy helytelenül semlegesíti a felhasználó által befolyásolható bemenetet, mielőtt azt olyan kimenetbe helyezné, amelyet weboldalként szolgáltatnak más felhasználóknak.
Leírás forrása: CWE-79 Leírás utolsó módosítása: 2024.06.27.Elemzés leírás
Eredeti nyelven:
An issue was discovered in Roundcube Webmail before 1.3.12 and 1.4.x before 1.4.5. There is XSS via a malicious XML attachment because text/xml is among the allowed types for a preview.
Elemzés leírás forrása: CVE-2020-13965 Elemzés leírás utolsó módosítása: 2024.06.27.Hatás
CVSS3.1 Súlyosság és Metrika
Base score: 6.1 (Közepes)
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Impact Score: 2.7
Exploitability Score: 2.8
Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): Required
Scope (S): Changed
Confidentiality Impact (C): Low
Integrity Impact (I): Low
Availability Impact (A): None
Következmények
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Hivatkozások
Sérülékeny szoftverek
Roundcube Webmail 1.3.12-es verziók előtt és 1.4.x 1.4.5 előtt.