BDU:2024-06254

Оценки

EPSS

0.000нет0.0%

0%20%40%60%80%100%

Процентиль: 0.0%

CVSS

6.1средний3.x

0246810

Оценка CVSS: 6.1/10

Все оценки CVSS

CVSS 3.x

6.1

Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

CVSS 2.0

6.4

Вектор: AV:N/AC:L/Au:N/C:P/I:P/A:N

Описание

Уязвимость функции rcmail_action_mail_get->run() почтового клиента RoundCube Webmail существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, провести атаку межсайтового скриптинга (XSS) путем отправки специально созданных вредоносных вложений

Сканер-ВС 7 — современное решение для управления уязвимостями

Использует эту базу данных для обнаружения уязвимостей. Высокая скорость поиска, кроссплатформенность, продвинутый аудит конфигурации и гибкая фильтрация. Подходит для организаций любого масштаба.

Подробнее о Сканер-ВС 7

Источники

bdu

Связанные уязвимости

CVE-2024-42008

Эксплойты

ID эксплойта: CVE-2024-42008

Источник: github-poc

URL: https://github.com/rpgsec/Roundcube-CVE-2024-42008-POC

Справочные ссылки

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-42008

https://github.com/roundcube/roundcubemail/releases

https://github.com/roundcube/roundcubemail/releases/tag/1.5.8

https://github.com/roundcube/roundcubemail/releases/tag/1.6.8

https://roundcube.net/news/2024/08/04/security-updates-1.6.8-and-1.5.8

https://www.tenable.com/cve/CVE-2024-42008

https://security-tracker.debian.org/tracker/CVE-2024-42008

https://www.suse.com/security/cve/CVE-2024-42008.html

https://www.sonarsource.com/blog/government-emails-at-risk-critical-cross-site-scripting-vulnerability-in-roundcube-webmail/

https://itshaman.ru/news/security/uyazvimost-roundcube-pozvolyayut-legko-vzlomat-uchetnye-zapisi-elektronnoi-pochty-cve-2024-42009-cve-2024-42008

http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Рекомендации

Источник: bdu

Использование рекомендаций:
Для Roundcube Webmail:
https://github.com/roundcube/roundcubemail/releases
https://github.com/roundcube/roundcubemail/releases/tag/1.5.8
https://github.com/roundcube/roundcubemail/releases/tag/1.6.8
https://roundcube.net/news/2024/08/04/security-updates-1.6.8-and-1.5.8

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-42008

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-42008.html

Компенсирующие меры:
- использование средств антивирусной защиты с функционалом контроля электронной почты для отслеживания попыток эксплуатации уязвимости;
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к программному продукту;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

URL: https://bdu.fstec.ru/vul/2024-06254

Уязвимое ПО (8)

Тип: Конфигурация

Поставщик: the roundcube team

Продукт: roundcube webmail

Операционная система: redos 7.3

Характеристика:

{  "version_end_excluding": "1.6.8",  "version_start_including": "1.6.0"}

Источник: bdu

Тип: Конфигурация

Поставщик: the roundcube team

Продукт: roundcube webmail

Операционная система: redos 7.3

Характеристика:

{  "version_end_excluding": "1.5.8"}

Источник: bdu

Тип: Конфигурация

Поставщик: the roundcube team

Продукт: roundcube webmail

Операционная система: opensuse tumbleweed *

Характеристика:

{  "version_end_excluding": "1.6.8",  "version_start_including": "1.6.0"}

Источник: bdu

Тип: Конфигурация

Поставщик: the roundcube team

Продукт: roundcube webmail

Операционная система: opensuse tumbleweed *

Характеристика:

{  "version_end_excluding": "1.5.8"}

Источник: bdu

Тип: Конфигурация

Поставщик: the roundcube team

Продукт: roundcube webmail

Операционная система: debian gnu/linux 11

Характеристика:

{  "version_end_excluding": "1.6.8",  "version_start_including": "1.6.0"}

Источник: bdu

Тип: Конфигурация

Поставщик: the roundcube team

Продукт: roundcube webmail

Операционная система: debian gnu/linux 11

Характеристика:

{  "version_end_excluding": "1.5.8"}

Источник: bdu

Тип: Конфигурация

Поставщик: the roundcube team

Продукт: roundcube webmail

Операционная система: debian gnu/linux 12

Характеристика:

{  "version_end_excluding": "1.6.8",  "version_start_including": "1.6.0"}

Источник: bdu

Тип: Конфигурация

Поставщик: the roundcube team

Продукт: roundcube webmail

Операционная система: debian gnu/linux 12

Характеристика:

{  "version_end_excluding": "1.5.8"}

Источник: bdu

Конец списка

Каталог уязвимостей Сканер-ВС

BDU:2024-06254

Оценки

EPSS

CVSS

Все оценки CVSS

Разбор вектора

CVSS

Вектор атаки

Сложность атаки

Требуемые привилегии

Взаимодействие с пользователем

Область воздействия

Воздействие на конфиденциальность

Воздействие на целостность

Воздействие на доступность

Разбор вектора

CVSS

Вектор атаки

Сложность атаки

Аутентификация

Воздействие на конфиденциальность

Воздействие на целостность

Воздействие на доступность

Описание

Сканер-ВС 7 — современное решение для управления уязвимостями

Источники

Связанные уязвимости

Эксплойты

Справочные ссылки

Рекомендации

Уязвимое ПО (8)