anonhaven

CVE-2023-5631

MEDIUM CVSS 3.1: 5,4 EPSS 83.3% ACTIVE EXPLOIT
Обновлено 30 октября 2025
Roundcube

Уязвимость из каталога CISA KEV — активно эксплуатируется

Эта уязвимость активно используется злоумышленниками. Необходимо принять меры как можно скорее.

Срок устранения: 16 ноября 2023

Параметр Значение
CVSS 5,4 (MEDIUM)
Уязвимые версии 1.5.0 — 1.6.4
Устранено в версии 1.4.15
Тип уязвимости CWE-79 (Межсайтовый скриптинг (XSS))
Поставщик Roundcube
Публичный эксплойт Да

Roundcube до 1.4.15, 1.5.x до 1.5.5 и 1.6.x до 1.6.4 позволяет сохранять XSS через сообщение электронной почты в формате HTML со созданным документом SVG из-за поведения program/lib/Roundcube/rcube_washtml.php. Это может позволить удаленному злоумышленнику для загрузки произвольного кода JavaScript.

Показать оригинальное описание (EN)

Roundcube before 1.4.15, 1.5.x before 1.5.5, and 1.6.x before 1.6.4 allows stored XSS via an HTML e-mail message with a crafted SVG document because of program/lib/Roundcube/rcube_washtml.php behavior. This could allow a remote attacker to load arbitrary JavaScript code.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Требуется
Нужно действие пользователя

Последствия

Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-79 Cross-Site Scripting (XSS) (Межсайтовый скриптинг (XSS))

Уязвимые продукты 7

Конфигурация От (включительно) До (исключительно)
Roundcube Webmail
cpe:2.3:a:roundcube:webmail:*:*:*:*:*:*:*:*
 1.4.15
Roundcube Webmail
cpe:2.3:a:roundcube:webmail:*:*:*:*:*:*:*:*
 1.5.0 1.5.5
Roundcube Webmail
cpe:2.3:a:roundcube:webmail:*:*:*:*:*:*:*:*
 1.6.0 1.6.4
Debian Debian_Linux
cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*
Debian Debian_Linux
cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:*
Debian Debian_Linux
cpe:2.3:o:debian:debian_linux:12.0:*:*:*:*:*:*:*
Fedoraproject Fedora
cpe:2.3:o:fedoraproject:fedora:39:*:*:*:*:*:*:*

Ссылки 16

http://www.openwall.com/lists/oss-security/2023/11/01/1
security@eset.com
http://www.openwall.com/lists/oss-security/2023/11/01/3
security@eset.com
http://www.openwall.com/lists/oss-security/2023/11/17/2
security@eset.com
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1054079
security@eset.com
https://github.com/roundcube/roundcubemail/commit/41756cc3331b495cc0b7188698447…
security@eset.com
https://github.com/roundcube/roundcubemail/commit/6ee6e7ae301e165e2b2cb703edf75…
security@eset.com
https://github.com/roundcube/roundcubemail/issues/9168
security@eset.com
https://github.com/roundcube/roundcubemail/releases/tag/1.4.15
security@eset.com
https://github.com/roundcube/roundcubemail/releases/tag/1.5.5
security@eset.com
https://github.com/roundcube/roundcubemail/releases/tag/1.6.4
security@eset.com
https://lists.debian.org/debian-lts-announce/2023/10/msg00035.html
security@eset.com
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproj…
security@eset.com
https://roundcube.net/news/2023/10/16/security-update-1.6.4-released
security@eset.com
https://roundcube.net/news/2023/10/16/security-updates-1.5.5-and-1.4.15
security@eset.com
https://www.debian.org/security/2023/dsa-5531
security@eset.com
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2023…
134c704f-9b21-4f2e-91b3-4a467353bcc0
Share Post Share Share Share

Связанные уязвимости

CVE-2024-57004

Roundcube

6,1