Vulnérabilité dans Roundcube
Date de publication :
Une vulnérabilité a été découverte dans Roundcube, client web de messagerie mail. Un attaquant distant peut exécuter du code Javascript arbitraire sur le navigateur web d’un utilisateur (XSS).
CVE-2020-15562 [Score CVSS v3 : 6.1] : Une vulnérabilité de type “cross-site scripting” (XSS) a été découverte dans Roundcube. Un attaquant distant peut exécuter du code JavaScript arbitraire sur le navigateur web d’un utilisateur via un message HTML spécialement conçu. Une telle attaque peut résulter en une fuite de données sensibles ou une exécution d’actions arbitraires.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code JavaScript arbitraire sur le navigateur d’un utilisateur (XSS)
Criticité
- Score CVSS v3 : 6.1
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à ce jour
Composants vulnérables
- Roundcube 1.2 avant la version 1.2.11
- Roundcube 1.3 avant la version 1.3.14
- Roundcube 1.4 avant la version 1.4.7
CVE
- CVE-2020-15562
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Roundcube vers une version non-vulnérable (voir la section “Composants vulnérables”)
Solution de contournement
Aucune solution de contournement n’est disponible