Confira !!
O pacote roundcubemail anterior à versão 1.4.10-1 é vulnerável a cross-site scripting.
Aviso de segurança do Arch Linux ASA-202101-2
=================================================
Gravidade: alta
Data: 2021-01-04
CVE-ID: CVE-2020-35730
Pacote: roundcubemail
Tipo: cross-site scripting
Remoto: Sim
Link: https://security.archlinux.org/AVG-1388
Resumo
=======
O pacote roundcubemail antes da versão 1.4.10-1 é vulnerável a
script entre sites.
Resolução
==========
Atualize para 1.4.10-1.
# pacman -Syu "roundcubemail> = 1.4.10-1"
O problema foi corrigido na versão 1.4.10.
Workaround
==========
Nenhum.
Descrição
===========
Um problema de segurança foi encontrado no Roundcube Webmail antes da versão 1.4.10,
1.3.16 e 1.2.13. linkref_addindex em rcube_string_replacer.php
permitido executar um ataque de script entre sites armazenados usando um
Mensagem de e-mail em HTML ou texto simples.
Impacto
======
Um invasor remoto pode realizar um ataque de script entre sites armazenados
usando um HTML elaborado ou mensagem de e-mail de texto simples.
Referências
==========
https://bugs.archlinux.org/task/69131
https://github.com/roundcube/roundcubemail/releases/tag/1.4.10
https://github.com/roundcube/roundcubemail/commit/0bceba301aa621ecc0263eac17beee2a4cef0c6d
https://security.archlinux.org/CVE-2020-35730
Até a próxima !!
Nenhum comentário:
Postar um comentário