平台
roundcube
组件
roundcube/roundcubemail
修复版本
1.5.14
1.6.14
1.7-rc5
CVE-2026-35539是Roundcube Webmail中存在的一个跨站脚本(XSS)漏洞。由于在预览模式下对HTML附件的过滤不足,攻击者可以利用此漏洞注入恶意脚本。受害者必须预览text/html附件才能触发此漏洞。该漏洞影响Roundcube Webmail 1.5.14和1.6.14之前的版本。此问题已在Roundcube Webmail 1.6.14版本中修复。
在Roundcube Webmail的1.5.14版之前和1.6.14版之前发现了一个跨站脚本(XSS)漏洞。该漏洞源于附件预览期间HTML清理不足。攻击者可以利用此漏洞将恶意代码注入到网页中,然后在受害者的浏览器中执行。这可能允许攻击者窃取敏感信息,例如登录凭据,或将用户重定向到恶意网站。此漏洞的CVSS评分是6.1,表明中等至高风险,具体取决于上下文和相关信息的敏感性。预览功能中HTML清理不足允许注入恶意脚本。
当用户打开包含HTML附件的电子邮件并预览内容时,会触发此漏洞。攻击者必须能够发送包含专门设计的HTML附件的电子邮件以利用此漏洞。攻击的有效性取决于服务器配置和安全措施。重要的是要注意,受害者必须与电子邮件(打开它并预览附件)进行交互才能激活此漏洞。在没有用户交互的情况下,攻击者无法远程利用此漏洞。此漏洞存在于预览功能中的HTML渲染过程中。
漏洞利用状态
EPSS
0.04% (13% 百分位)
CISA SSVC
CVSS 向量
减轻此漏洞的解决方案是将Roundcube Webmail更新到1.7-rc5版或更高版本。此版本包含修复,解决了附件预览中HTML清理不足的问题。强烈建议尽快应用此更新以防止潜在攻击。此外,用户应谨慎打开来自未知或可疑来源的HTML附件。监控服务器日志以查找异常活动也可以帮助检测和响应潜在的利用尝试。更新是最有效的措施,并且优于任何临时解决方案。
Actualice Roundcube Webmail a la versión 1.5.14 o 1.6.14 o superior. Esto corrige la sanitización insuficiente de archivos adjuntos HTML en el modo de vista previa, previniendo la ejecución de XSS. La actualización se puede realizar descargando la última versión desde el sitio web oficial de Roundcube y siguiendo las instrucciones de actualización.
漏洞分析和关键警报直接发送到您的邮箱。
XSS(跨站脚本)是一种安全漏洞类型,允许攻击者将恶意脚本注入到其他用户查看的网页中。
在管理页面或应用程序信息中检查Roundcube Webmail的版本。将此版本与推荐版本(1.7-rc5或更高版本)进行比较。
立即更改您的密码,检查您的帐户是否存在可疑活动,并通知您的电子邮件服务提供商。
在您的电子邮件帐户上启用双因素身份验证(2FA),并在打开来自未知来源的附件时小心谨慎。
更新不应影响您的电子邮件。但是,在执行任何更新之前,始终建议备份您的数据。