Веб-почта Roundcube до версий 1.5.13 и 1.6 до 1.6.13, когда используется «Блокировать удаленные изображения», не блокирует SVG feImage.
Показать оригинальное описание (английский)
Roundcube Webmail before 1.5.13 and 1.6 before 1.6.13, when "Block remote images" is used, does not block SVG feImage.
Матрица атаки
Вектор атаки
По сети
Атака по сети
Сложность атаки
Низкая
Легко эксплуатировать
Требуемые привилегии
Не требуются
Права не нужны
Взаимодействие с пользователем
Требуется
Нужен клик жертвы
Влияние на конфиденциальность
Низкое
Частичная утечка данных
Влияние на целостность
Нет
Нет модификации
Влияние на доступность
Нет
Нет отказа в обслуживании
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N