Kdepim
Уязвимости
8
Эксплуатируемые
0
Макс. CVSS
6.5
Макс. EPSS
0.02477
Распределение по критичности
Критический
0
Высокий
0
Средний
8
Низкий
0
Также сопоставлено как (исходные строки): kdepim
Топ уязвимостей
CVE-2020-11880Проблема была обнаружена в KDE KMail до версии 19.12.3. Используя проприетарный (не RFC6068) параметр "mailto?attach=...", веб-сайт (или другой источник ссылок mailto) может заставить KMail прикрепить локальные файлы к составленному сообщению электронной почты, не показывая пользователю предупреждение, как показано на примере attach=.bash_history value.
CVE-2016-7967KMail начиная с версии 5.3.0 использовал просмотрщик на основе QWebEngine с включенным JavaScript. Поскольку сгенерированный HTML выполняется в локальном контексте безопасности файлов, по умолчанию был включен доступ к удаленным и локальным URL-адресам.
CVE-2014-8878KDE KMail не шифрует вложения в электронных письмах, когда включено "автоматическое шифрование", что позволяет удаленным злоумышленникам получать конфиденциальную информацию путем перехвата сетевого трафика.
CVE-2017-9604KDE kmail до версии 5.5.2 и messagelib до версии 5.5.2, распространяемые в KDE Applications до версии 17.04.2, не гарантируют, что действие плагина по подписи/шифрованию происходит во время использования функции "Отправить позже", что позволяет удаленным злоумышленникам получить конфиденциальную информацию путем перехвата сетевого трафика.
CVE-2012-3413Функция HTMLQuoteColorer::process в messageviewer/htmlquotecolorer.cpp в KDE PIM 4.6-4.8 не отключает JavaScript, Java и подключаемые модули, что позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через специально созданное электронное письмо.
CVE-2019-10732В KDE KMail 5.2.3 злоумышленник, владеющий S/MIME или PGP-зашифрованными электронными письмами, может обернуть их в виде подчастей в специально созданное многокомпонентное электронное письмо. Зашифрованные части могут быть дополнительно скрыты с использованием HTML/CSS или символов новой строки ASCII. Это измененное многокомпонентное электронное письмо может быть повторно отправлено злоумышленником предполагаемому получателю. Если получатель ответит на это (выглядящее безобидно) электронное письмо, он неосознанно передаст открытый текст зашифрованных частей сообщения обратно злоумышленнику.
CVE-2016-7968KMail начиная с версии 5.3.0 использовал просмотрщик на основе QWebEngine с включенным JavaScript. Содержимое HTML-почты не было очищено от JavaScript, и включенный код был выполнен.
CVE-2016-7966Через вредоносный URL-адрес, содержащий символ кавычки, можно было внедрить HTML-код в текстовый просмотрщик KMail. Из-за синтаксического анализатора, используемого в URL-адресе, невозможно было включить знак равенства (=) или пробел во внедренный HTML, что значительно снижает доступную функциональность HTML. Хотя можно включить индикатор HTML-комментария, чтобы скрыть содержимое.