Roundcube Webmail Cross-Site Scripting (XSS) Sérülékenység
Angol cím: Roundcube Webmail Cross-Site Scripting (XSS) Vulnerability
Publikálás dátuma: 2020.06.08.
Utolsó módosítás dátuma: 2024.06.27.
Leírás
A termék nem semlegesíti, vagy helytelenül semlegesíti a felhasználó által befolyásolható bemenetet, mielőtt azt olyan kimenetbe helyezné, amelyet weboldalként szolgáltatnak más felhasználóknak.
Leírás forrása: CWE-79 Leírás utolsó módosítása: 2024.06.27.Elemzés leírás
Eredeti nyelven:
An issue was discovered in Roundcube Webmail before 1.3.12 and 1.4.x before 1.4.5. There is XSS via a malicious XML attachment because text/xml is among the allowed types for a preview.
Elemzés leírás forrása: CVE-2020-13965 Elemzés leírás utolsó módosítása: 2024.06.27.Hatás
CVSS3.1 Súlyosság és Metrika
Alap pontszám: 6.1 (Közepes)
Vektor: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Hatás pontszáma: 2.7
Kihasználhatóság pontszáma: 2.8
Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Szükséges
Hatókör (S): Változott
Bizalmasság Hatása (C): Alacsony
Sértetlenség Hatása (I): Alacsony
Rendelkezésre állás Hatása (A): Nincs
Következmények
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Hivatkozások
Sérülékeny szoftverek
Roundcube Webmail 1.3.12-es verziók előtt és 1.4.x 1.4.5 előtt.
