云安全提醒: Roundcube爆出多个漏洞,可窃取信息 接管邮箱账户

Roundcube是一款被广泛使用的开源的Web电子邮件程序，在全球范围内有很多组织和公司都在使用。Roundcube Webmail在Linux中最常用,它提供了基于Web浏览器的可换肤IMAP客户端，并提供多种语言。功能包括MIME支持，通讯簿，文件夹和邮件搜索功能。Roundcube支持各种邮件协议,如IMAPS、POP3S 或者 submission,可以管理多个邮箱账号.

不过,7月21日,Roundcube发布了有关跨站点脚本漏洞(代号CVE-2020-15562)的通报，该通报是Roundcube稳定版1.4和LTS 1.3和1.2中存在的漏洞。7月22日,Roundcube针对此漏洞发布了紧急安全更新，同时也修复了先前遗留的一个安全漏洞（参数注入漏洞CVE-2020-12641）。以下是漏洞详情：

参数注入漏洞CVE-2020-12641

该漏洞主要存在于Roundcube Webmail 1.4.4之前版本中的rcube_image.php文件中。攻击者可借助shell元字符利用该漏洞执行任意代码。

受影响版本

Roundcube Webmail 1.2.11之前的版本,1.3.12之前的1.3.x版本,1.4.5之前的1.4.x版本

修复漏洞

该漏洞已在Roundcube 1.4.7、1.3.14和1.2.11中修复。建议尽快升级到最新版，增强安全性！

跨站点脚本漏洞CVE-2020-15562

该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。

Roundcube使用Washtml HTML清理程序的自定义版本在电子邮件中显示不受信任的HTML代码。其中一个修改是为svg标记包含一个异常，以正确处理XML命名空间。但是，处理协议中的漏洞会导致清理检查失败。这可以通过JavaScript负载滥用命名空间属性进行攻击。例如通过包含HTML onload事件的恶意电子邮件来利用此漏洞。如果触发，则可能导致存储的XSS攻击。

XSS(跨站脚本)攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后，攻击者可能得到包括但不限于更高的权限（如执行一些操作）、私密网页内容、会话和cookie等各种内容。

成功的攻击允许在经过身份验证的受害者会话的上下文中执行任意JavaScript代码，从而基本上模拟了登录的用户。这赋予了攻击者与合法用户相同的权力，包括但不限于：阅读和删除邮件，代表受害者发送电子邮件，访问地址列表，以及进行垃圾邮件运动。攻击者可以从个人信件中获取其他敏感信息，这些信息可能使恶意行为者能够访问外部服务，例如纯文本凭据和确认电子邮件。

受影响版本

Roundcube Webmail 1.2.11之前版本、1.3.14之前的1.3.x版本和1.4.7之前的1.4.x版本中存在跨站脚本漏洞。

修复漏洞

该漏洞已在Roundcube 1.4.7、1.3.14和1.2.11中修复。建议尽快升级到最新版，增强安全性！

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://roundcube.net/news/2020/07/05/security-updates-1.4.7-1.3.14-and-1.2.11

（免责声明：本网站内容主要来自原创、合作媒体供稿和第三方自媒体作者投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时，应及时向本网站提出书面权利通知或不实情况说明，并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后，将会依法尽快联系相关文章源头核实，沟通删除相关内容或断开相关链接。 ）

相关阅读