漏洞标题
N/A
漏洞描述信息
在Roundcube Webmail 0.5.1之前,steps/utils/modcss.inc文件在Roundcube Webmail中未正确验证请求是外部Cascading Style Sheets(CSS)stylesheet的预期请求,这允许远程授权的用户通过构造请求来触发服务器的任意 outbound TCP连接,并可能获取敏感信息。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
steps/utils/modcss.inc in Roundcube Webmail before 0.5.1 does not properly verify that a request is an expected request for an external Cascading Style Sheets (CSS) stylesheet, which allows remote authenticated users to trigger arbitrary outbound TCP connections from the server, and possibly obtain sensitive information, via a crafted request.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Roundcube Webmail steps/utils/modcss.inc任意邮件中转漏洞
漏洞描述信息
RoundCube Webmail是一款基于浏览器的IMAP客户端(邮件客户端),它支持地址薄管理、信息搜索、拼写检查等。 Roundcube Webmail 0.5.1之前版本中的steps/utils/modcss.inc没有正确验证对外部层叠样式表(CSS)的请求。远程认证用户可以借助特制请求,使用受影响系统作为邮件中转,从服务器触发任意越界TCP连接,并可能获取敏感信息。
CVSS信息
N/A
漏洞类别
授权问题