漏洞标题
N/A
漏洞描述信息
## 漏洞概述
Roundcube 邮件系统在处理 Content-Type 或 Content-Disposition 头时存在 XSS 漏洞,此漏洞可用于附件预览或下载。
## 影响版本
- Roundcube 1.5.x 版本低于 1.5.6
- Roundcube 1.6.x 版本低于 1.6.5
## 漏洞细节
攻击者可以通过精心构造的 Content-Type 或 Content-Disposition HTTP 头,注入恶意脚本,当用户预览或下载附件时,恶意脚本将被执行,导致跨站脚本攻击 (XSS)。
## 影响
此漏洞可能导致攻击者在目标用户浏览器中执行任意 JavaScript 代码,进而篡改页面内容或窃取敏感信息。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
N/A
漏洞描述信息
Roundcube 1.5.x before 1.5.6 and 1.6.x before 1.6.5 allows XSS via a Content-Type or Content-Disposition header (used for attachment preview or download).
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
Roundcube 跨站脚本漏洞
漏洞描述信息
Roundcube Webmail是一款基于浏览器的开源IMAP客户端,它支持地址薄管理、信息搜索、拼写检查等。 Roundcube 1.5.6 之前、1.6.5 之前版本存在跨站脚本漏洞,该漏洞源于允许通过 Content-Type 或 Content-Disposition 标头进行跨站脚本攻击。
CVSS信息
N/A
漏洞类别
跨站脚本