首页 > 动态 > 关键词 > 漏洞最新资讯 > 正文

云安全提醒: Roundcube爆出多个漏洞,可窃取信息 接管邮箱账户

2020-07-23 15:51 · 稿源:TechWeb.com.cn

Roundcube是一款被广泛使用的开源的Web电子邮件程序,在全球范围内有很多组织和公司都在使用。Roundcube Webmail在Linux中最常用,它提供了基于Web浏览器的可换肤IMAP客户端,并提供多种语言。功能包括MIME支持,通讯簿,文件夹和邮件搜索功能。Roundcube支持各种邮件协议,如IMAPS、POP3S 或者 submission,可以管理多个邮箱账号.

不过,7月21日,Roundcube发布了有关跨站点脚本漏洞(代号CVE-2020-15562)的通报,该通报是Roundcube稳定版1.4和LTS 1.3和1.2中存在的漏洞。7月22日,Roundcube针对此漏洞发布了紧急安全更新,同时也修复了先前遗留的一个安全漏洞(参数注入漏洞CVE-2020-12641)。以下是漏洞详情:

参数注入漏洞CVE-2020-12641

该漏洞主要存在于Roundcube Webmail 1.4.4之前版本中的rcube_image.php文件中。攻击者可借助shell元字符利用该漏洞执行任意代码。

受影响版本

Roundcube Webmail 1.2.11之前的版本,1.3.12之前的1.3.x版本,1.4.5之前的1.4.x版本

修复漏洞

该漏洞已在Roundcube 1.4.7、1.3.14和1.2.11中修复。建议尽快升级到最新版,增强安全性!

跨站点脚本漏洞CVE-2020-15562

该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。

Roundcube使用Washtml HTML清理程序的自定义版本在电子邮件中显示不受信任的HTML代码。其中一个修改是为svg标记包含一个异常,以正确处理XML命名空间。但是,处理协议中的漏洞会导致清理检查失败。这可以通过JavaScript负载滥用命名空间属性进行攻击。例如通过包含HTML onload事件的恶意电子邮件来利用此漏洞。如果触发,则可能导致存储的XSS攻击。

XSS(跨站脚本)攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。

成功的攻击允许在经过身份验证的受害者会话的上下文中执行任意JavaScript代码,从而基本上模拟了登录的用户。这赋予了攻击者与合法用户相同的权力,包括但不限于:阅读和删除邮件,代表受害者发送电子邮件,访问地址列表,以及进行垃圾邮件运动。攻击者可以从个人信件中获取其他敏感信息,这些信息可能使恶意行为者能够访问外部服务,例如纯文本凭据和确认电子邮件。

受影响版本

Roundcube Webmail 1.2.11之前版本、1.3.14之前的1.3.x版本和1.4.7之前的1.4.x版本中存在跨站脚本漏洞。

修复漏洞

该漏洞已在Roundcube 1.4.7、1.3.14和1.2.11中修复。建议尽快升级到最新版,增强安全性!

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://roundcube.net/news/2020/07/05/security-updates-1.4.7-1.3.14-and-1.2.11

  • 相关推荐
  • 大家在看
  • 打破神话的代币经济与一些常见的思维漏洞

    “在这篇文章中,我将对与代币经济相关的一些概念进行解释,欢迎大家阅读本文。——币安首席执行官赵长鹏(CZ)每天,我都看到人们对代币经济基础概念的各种思维漏洞。我知道,关于金融、关于货币供给系统如何运作等知识,学校教科书内容涉及的介绍篇幅有限。我也知道,加密资产是新兴行业,有些知识是需要我们所有人都去学习的。在这篇文章中,我将解释一些概念,请轻松浏览本文。这些都是我本人的观点,观点可能有失偏颇。我推荐大

  • NEC爆出大量安全漏洞,或将影响所有中小企业及政府!

    日本NEC是全球IT、通信网络的领先供应商之一,也是全球500强企业之一。NEC主要从事IT服务、平台业务、运营商网络、社会基础设施、个人解决方案等产品的研发、集群软件、生产和销售,产品多达15000多种.NEC在全球150多个国家和地区开展业务,融合先进的信息技术和网络技术,向政府、企业及个人提供卓越的综合解决方案。不过7月30日,NEC被爆其通信产品和解决方案中存在大量安全漏洞,旗下多款通信服务器和电话交换机纷纷中招,或将影响

  • 黑客发现新漏洞:可用于iOS 13.6越狱

    据外媒最新报道称,已经有开发者给出消息称,有用于iOS 13.6正式版的漏洞了(efp0),不过目前相应的越狱工具还在初始阶段。需要指出的是,针对 tfp0 漏洞利用的开发仍处于早期阶段,且目前尚

  • IBM 多款产品爆出漏洞,或严重影响银行等金融机构

    IBM是全球最大的信息技术和业务解决方案公司,其全球能力包括服务、软件、硬件系统、研发及相关融资支持。IBM始终以超前的技术、出色的管理和独树一帜的产品领导着信息产业的发展,保证了世界范围内几乎所有行业用户对信息处理的全方位需求。不过IBM于7月31日发布了安全公告,IBM 旗下多款产品存在大量漏洞,或严重影响银行等金融机构。以下是漏洞详情:一.金融事务管理器(FTM HVP)IBM Financial Transaction Manager for High Va

    IBM
  • SIGRed 严重漏洞来势汹汹,立即修复刻不容缓

    想象一下,如果有人能够在您不知情的情况下拦截并阅读您的每一封邮件(包括新办理的银行卡、各种支付账号信息、工作申请表等等)然后再将其转发给您,将会发生什么?通过邮件了解您的详细信息,黑客能通过复制或篡改您的邮件对您造成破坏性影响。再试想一下,黑客可以在您企业的网络上执行相同的操作,拦截和操控用户的电子邮件和网络流量,终止服务运行,收集用户凭证等等。实际上,他们将能够完全控制您的 IT 设施与核心业务。

  • 安全人员称苹果Enclave存在漏洞 但不会影响大多数iPhone用户

    安全研究人员近日披露了苹果Secure Enclave处理器的一个漏洞,但虽然敏感信息的数据存储,意味着包括Apple Pay详情和Face ID生物识别记录在内的数据有可能受到攻击者的攻击,但事实上,这对于绝大多数苹果客户来说,它不大可能成为一个问题。

  • 盘古团队发现苹果不可修复漏洞:iOS 14能完美越狱

    来自中国的安全团队盘古对iOS 14进行了完美越狱,而他们利用了苹果Secure Enclave安全协处理器上的一个“永久性”的漏洞。Secure Enclave安全协处理器几乎是苹果产品的标准配置,它

  • 盘古团队演示iOS 14越狱:发现Secure Enclave存“不可修复”漏洞

    日前召开的 Mosec 2020 大会上,国内越狱团队盘古发现了苹果 Secure Enclave 安全协处理器上的一个“永久性”的漏洞。这可能会让 iPhone、iPad、Mac、Apple Watch 和其他苹果设备处于危险当中。

  • 云安全提醒:火狐浏览器爆出大量安全漏洞,赶紧更新!

    美国Mozilla是一个以创作Firefox网页浏览器而闻名的自由软件社区。Mozilla社区开发、推广和支持Mozilla相关项目,致力于推动自由软件与开放标准的发展。Mozilla Firefox(火狐浏览器)是Mozilla基金会的产品,它是一款开源Web浏览器,引擎反应快,内存占用少。Firefox从2005年开始,每年都被媒体选为年度最佳浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延升支持版本,适用于企业或者工作单位,又称Firefox企业版。它具有体?

  • 推特史诗级漏洞 欧科云链OKLink带你追溯被骗的比特币

    北京时间 2020 年 7 月 16 日凌晨三点左右,推特上多位大V账户遭到黑客入侵,这些账号包括比尔·盖茨、特斯拉 CEO 马斯克、前美国副总统拜登和苹果公司官方推特等。有趣的是,这些被黑客入侵的账户全部都在推特上发布了同一条比特币钓鱼信息,“为了回馈大家,只要大家向比特币地址(bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh)发送比特币,就会得到双倍回报,该活动只进行 30 分钟。”据欧科云链 OKLink 浏览器显示,黑客的交易?

  • 谷歌要求马上升级!Android迎来安全更新:修复多个严重漏洞

    今天谷歌发布了新的安全公告,Android系统迎来2020-07-01和2020-07-05两个安全补丁,都是解决棘手的安全漏洞。据公布的内容看,谷歌这次发布的两个针对Android安全补丁,一个是Android和谷歌服

  • 热搜安排!微信亲属卡存漏洞:账户资金被盗刷

    7月27日消息,“微信亲属卡存漏洞成新型诈骗利器”登上微博热搜。据媒体报道,来自广州的吴某冒充贷款中介人员与被害人沟通,诱导被害人与其建立微信“亲属卡”,从而盗刷

  • 质疑苹果掩饰重要iOS漏洞 谷歌不再参与iPhone 新的SRD安全计划

    由于苹果严苛的漏洞披露规则,包括谷歌Project Zero在内的iPhone漏洞研究领域的部分大牌团队和个人,今天都表示将不参与苹果新公布的SRD安全计划。这些团队和个人包括谷歌Project Zero、ZecOps、Axi0mX以及移动安全公司Guardian CEO威尔·斯特拉法赫(Will Strafach)。苹果的SRD计划在手机厂商中可谓独一无二。根据这一计划,苹果将向安全研究

  • 微软更新123个修复补丁 最严重DNS漏洞已存在17年

    ​微软官方在本周Patch Tuesday(星期二补丁日)发布了 123 个修复补丁的更新,其中包括了今年到目前为止最严重的DNS漏洞的修复补丁,该漏洞已存在 17 年。据外媒The Verge报道,该漏洞可能会被无操作授权的网络攻击者利用,并以此向Windows DNS服务器发送恶意请求来攻击用户的系统。

  • 过去一年,微软为安全漏洞奖励支出1370万美元

    微软透露,自去年 7 月以来,它已向安全研究人员奖励了 1370 万美元,用于鼓励提交微软软件漏洞的行为。

  • 苹果推出“越狱版”iPhone:供安全人员便于查找iOS漏洞

    苹果推出了“越狱版”iPhone,是不是感到很不可思议,其实这没什么,当然使用者是要经过他们筛选的。据外媒报道称,苹果宣布将为安全研究人员提供改版iPhone,以便帮助其寻找苹果移

  • 巨头公司Microsoft,SAP,Adobe和Google“扎堆”发布针对安全漏洞更新

    众所周知,对于安全研究员来说,每个月的第二个星期二是微软(Microsoft )“补丁星期二”。这次也毫无例外,微软公司当天发布了针对其产品中的安全漏洞的补丁。不过比较戏剧性的是,这次是“聚会”,因为SAP ,Adobe 和Google 同一天也都针对自身产品发布了安全更新。Microsoft早在今年5月份,安全研究人员发现了Windows DNS的一个严重安全漏洞并上报给微软。微软已确认此漏洞,于7月14日发布了安全漏洞更新.此漏洞代号为"Si

  • 思科数据中心管理系统爆出大量漏洞,或将影响所有Nexus和MDS系列交换机

    Cisco Data Center Network Manager(DCNM)是美国思科(Cisco)公司的一套数据中心管理系统。该系统适用于Cisco Nexus和MDS系列企业交换机,提供存储可视化、配置和故障排除等功能。Nexus 系列交换机为不同企业提供多种规格,可实现经验证的高性能、高密度(最高达 400G),以及低时延和出色的能效。这些交换机可编程性高,提供行业领先的软件定义网络,可助力实现数据中心自动化。2020年第一季度,思科交换机和路由器全球市场占

  • 微信亲属卡存漏洞成新型诈骗利器 专家提醒防范建议介绍

    【微信亲属卡存漏洞成新型诈骗利器】近日有多家媒体报道,,近日广州吴某通过冒充贷款中介人和审核员,诱使被害人与其建立微信「亲属卡」,从而盗走账户内的资金。

  • 微信亲属卡存漏洞成新型诈骗利器 专家:不要随便添加好友

    近日,广州吴某通过冒充贷款中介人和审核员,诱使被害人与其建立微信“亲属卡”,从而盗走微信账户内的资金。警方认为主要是利用被害人对软件功能的不熟悉和急于借贷的心态实施诈骗。

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签

热文

  • 3 天
  • 7天