Synthese
Die aktive Ausbeutung des CVE-2024-37383 Vulnerability-Allready wurde vom Verkäufer behoben, der das Produkt Roundcube Webmail, der bekannte Open-Source-E-Mail-Manager, beeinflusst.
Risiko
Einflussschätzung der Verwundbarkeit in der Referenzgemeinschaft: Hoch/orange (70,64/100) 1.
Typ
- Information Disclosure
- Privilege Escalation
Beschreibung
Die Ausbeutung des CVE-2024-37383 Vulnerability-Allready wurde kürzlich vom Hersteller, der das Produkt Roundcube-Webmail, der bekannte Open-Source-E-Mail-Manager, beeinflusst, festgestellt.
Diese Sicherheitsanfälligkeit – des Typs „Cross Site Scripting“ und mit CVSS V3 -Punktzahl, die gleich 6,1 entspricht – könnte es ermöglichen, einen ferngestalteten Remote -Benutzer auszuführen, die Ausführung von willkürlichem JavaScript -Code, Zugriff auf vertrauliche Informationen und die Möglichkeit, ihre Privilegien aufzubauen Zielsysteme.
Betroffene Produkte und Versionen
RoundCube Webmail
- 1.6.x, Versionen vor 1.6.7
- Alle Versionen vor 1.5.7
Abhilfemaßnahmen
Wenn es nicht bereits bereitgestellt wird, wird empfohlen, die schutzbedürftigen Produkte nach den Angaben des im Abschnitt „Referenzen angezeigten Abschnitts der Referenzen angegeben“ zu aktualisieren.
Eindeutige Indikatoren für Sicherheitslücken
Referenzen
https://github.com/roundcube/roundcubemail/releases
https://lists.debian.org/debian-lts-anunce/2024/06/msg00008.html
1Die vorliegende Schätzung wird unter Berücksichtigung mehrerer Parameter vorgenommen, darunter: CVSS, Verfügbarkeit von Patch/Workaround und POC, Verbreitung der in der Referenzgemeinschaft betreffenden Software/Geräte.
