Проблема была обнаружена в Roundcube Webmail до версий 1.5.14 и 1.6.14. Недостаточная очистка каскадных таблиц стилей (CSS) в сообщениях электронной почты HTML может привести к обходу устранения последствий фиксированной позиции с помощью !important.
Показать оригинальное описание (EN)
An issue was discovered in Roundcube Webmail before 1.5.14 and 1.6.14. Insufficient Cascading Style Sheets (CSS) sanitization in HTML e-mail messages may lead to a fixed-position mitigation bypass via the use of !important.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Ссылки 7
https://github.com/roundcube/roundcubemail/commit/099009b9c8e1d3c636fb9a5af72f7…
cve@mitre.org
https://github.com/roundcube/roundcubemail/commit/226811a1c974271dbedca72672923…
cve@mitre.org
https://github.com/roundcube/roundcubemail/commit/57dec0c127b98e0c8e3b9c26c8004…
cve@mitre.org
https://github.com/roundcube/roundcubemail/releases/tag/1.5.14
cve@mitre.org
https://github.com/roundcube/roundcubemail/releases/tag/1.6.14
cve@mitre.org
https://github.com/roundcube/roundcubemail/releases/tag/1.7-rc5
cve@mitre.org
https://roundcube.net/news/2026/03/18/security-updates-1.7-rc5-1.6.14-1.5.14
cve@mitre.org