Roundcube是一款被廣泛使用的開源的Web電子郵件程序，在全球范圍內(nèi)有很多組織和公司都在使用。Roundcube Webmail在Linux中最常用,它提供了基于Web瀏覽器的可換膚IMAP客戶端，并提供多種語(yǔ)言。功能包括MIME支持，通訊簿，文件夾和郵件搜索功能。Roundcube支持各種郵件協(xié)議,如IMAPS、POP3S 或者 submission,可以管理多個(gè)郵箱賬號(hào).

不過(guò),7月21日,Roundcube發(fā)布了有關(guān)跨站點(diǎn)腳本漏洞(代號(hào)CVE-2020-15562)的通報(bào)，該通報(bào)是Roundcube穩(wěn)定版1.4和LTS 1.3和1.2中存在的漏洞。7月22日,Roundcube針對(duì)此漏洞發(fā)布了緊急安全更新，同時(shí)也修復(fù)了先前遺留的一個(gè)安全漏洞（參數(shù)注入漏洞CVE-2020-12641）。以下是漏洞詳情：

參數(shù)注入漏洞CVE-2020-12641

該漏洞主要存在于Roundcube Webmail 1.4.4之前版本中的rcube_image.php文件中。攻擊者可借助shell元字符利用該漏洞執(zhí)行任意代碼。

受影響版本

Roundcube Webmail 1.2.11之前的版本,1.3.12之前的1.3.x版本,1.4.5之前的1.4.x版本

修復(fù)漏洞

該漏洞已在Roundcube 1.4.7、1.3.14和1.2.11中修復(fù)。建議盡快升級(jí)到最新版，增強(qiáng)安全性！

跨站點(diǎn)腳本漏洞CVE-2020-15562

該漏洞源于WEB應(yīng)用缺少對(duì)客戶端數(shù)據(jù)的正確驗(yàn)證。攻擊者可利用該漏洞執(zhí)行客戶端代碼。

Roundcube使用Washtml HTML清理程序的自定義版本在電子郵件中顯示不受信任的HTML代碼。其中一個(gè)修改是為svg標(biāo)記包含一個(gè)異常，以正確處理XML命名空間。但是，處理協(xié)議中的漏洞會(huì)導(dǎo)致清理檢查失敗。這可以通過(guò)JavaScript負(fù)載濫用命名空間屬性進(jìn)行攻擊。例如通過(guò)包含HTML onload事件的惡意電子郵件來(lái)利用此漏洞。如果觸發(fā)，則可能導(dǎo)致存儲(chǔ)的XSS攻擊。

XSS(跨站腳本)攻擊通常指的是通過(guò)利用網(wǎng)頁(yè)開發(fā)時(shí)留下的漏洞，通過(guò)巧妙的方法注入惡意指令代碼到網(wǎng)頁(yè)，使用戶加載并執(zhí)行攻擊者惡意制造的網(wǎng)頁(yè)程序。這些惡意網(wǎng)頁(yè)程序通常是JavaScript，但實(shí)際上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻擊成功后，攻擊者可能得到包括但不限于更高的權(quán)限（如執(zhí)行一些操作）、私密網(wǎng)頁(yè)內(nèi)容、會(huì)話和cookie等各種內(nèi)容。

成功的攻擊允許在經(jīng)過(guò)身份驗(yàn)證的受害者會(huì)話的上下文中執(zhí)行任意JavaScript代碼，從而基本上模擬了登錄的用戶。這賦予了攻擊者與合法用戶相同的權(quán)力，包括但不限于：閱讀和刪除郵件，代表受害者發(fā)送電子郵件，訪問地址列表，以及進(jìn)行垃圾郵件運(yùn)動(dòng)。攻擊者可以從個(gè)人信件中獲取其他敏感信息，這些信息可能使惡意行為者能夠訪問外部服務(wù)，例如純文本憑據(jù)和確認(rèn)電子郵件。

受影響版本

Roundcube Webmail 1.2.11之前版本、1.3.14之前的1.3.x版本和1.4.7之前的1.4.x版本中存在跨站腳本漏洞。

修復(fù)漏洞

該漏洞已在Roundcube 1.4.7、1.3.14和1.2.11中修復(fù)。建議盡快升級(jí)到最新版，增強(qiáng)安全性！

目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接：

https://roundcube.net/news/2020/07/05/security-updates-1.4.7-1.3.14-and-1.2.11

（舉報(bào)）