Vulnérabilité dans Roundcube Webmail
Date de publication :
Une vulnérabilité a été découverte dans Roundcube, un webmail open source. Elle peut permettre à un attaquant de provoquer une injection de code arbitraire.
CVE-2020-13964 [Score CVSS v3 : 6.1] : Une vulnérabilité permettant une attaque XSS (cross-site scripting) a été découverte dans le fichier include/rcmail_output_html.php de Roundcube. Un attaquant peut exploiter cette vulnérabilité via l’objet modèle (template object) “username” afin de provoquer une injection de code arbitraire.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Injection de code arbitraire
Criticité
- Score CVSS v3 : 6.1
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible pour l’instant
Composants vulnérables
- Roundcube versions 1.3.x jusqu’à la 1.3.12 non inclus
CVE
- CVE-2020-13964
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Roundcube à la version 1.3.12 ou supérieure
Solution de contournement
Aucune solution de contournement n’est disponible