FERRAMENTAS LINUX: Atualização de Segurança do ArchLinux para o ataque cross-site scripting do roundcubemail, aviso ArchLinux: 202101-2

terça-feira, 5 de janeiro de 2021

Atualização de Segurança do ArchLinux para o ataque cross-site scripting do roundcubemail, aviso ArchLinux: 202101-2

 


Confira !!


O pacote roundcubemail anterior à versão 1.4.10-1 é vulnerável a cross-site scripting.

Aviso de segurança do Arch Linux ASA-202101-2

=================================================


Gravidade: alta

Data: 2021-01-04

CVE-ID: CVE-2020-35730

Pacote: roundcubemail

Tipo: cross-site scripting

Remoto: Sim

Link: https://security.archlinux.org/AVG-1388


Resumo

=======


O pacote roundcubemail antes da versão 1.4.10-1 é vulnerável a

script entre sites.


Resolução

==========


Atualize para 1.4.10-1.


# pacman -Syu "roundcubemail> = 1.4.10-1"


O problema foi corrigido na versão 1.4.10.


Workaround

==========


Nenhum.


Descrição

===========


Um problema de segurança foi encontrado no Roundcube Webmail antes da versão 1.4.10,

1.3.16 e 1.2.13. linkref_addindex em rcube_string_replacer.php

permitido executar um ataque de script entre sites armazenados usando um

Mensagem de e-mail em HTML ou texto simples.


Impacto

======


Um invasor remoto pode realizar um ataque de script entre sites armazenados

usando um HTML elaborado ou mensagem de e-mail de texto simples.


Referências

==========


https://bugs.archlinux.org/task/69131

https://github.com/roundcube/roundcubemail/releases/tag/1.4.10

https://github.com/roundcube/roundcubemail/commit/0bceba301aa621ecc0263eac17beee2a4cef0c6d

https://security.archlinux.org/CVE-2020-35730


Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário