RoundCube Webmail “Edit Email”脚本插入漏洞

文章由LinuxBoy分享于2019-04-02 03:04:59热评（342）

RoundCube Webmail “Edit Email”脚本插入漏洞

发布日期：2013-08-27
更新日期：2013-08-28

受影响系统：
RoundCube Webmail < 0.9.3
描述：
--------------------------------------------------------------------------------
RoundCube Webmail是一个基于浏览器的IMAP客户端。

RoundCube Webmail 0.9.3之前版本的 "identity" 配置页面里存在XSS漏洞，某些传递到“editing received mails as new”功能的输入没有被正确过滤，这可被利用插入和执行任意HTML和脚本代码。

<*来源：Andrea Menin

链接：http://secunia.com/advisories/54536/
http://trac.roundcube.net/ticket/1489251
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

RoundCube
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://roundcube.net/
http://trac.roundcube.net/wiki/Changelog#RELEASE0.9.3
http://trac.roundcube.net/ticket/1489251

推荐文章：

RoundCube Webmail “Edit Email”脚本插入漏洞