8月18日消息 roundcube是一款被廣泛使用的開源的web電子郵件程序，在全球范圍內(nèi)有很多組織和公司都在使用。roundcube webmail在linux中最常用,它提供了基于web瀏覽器的可換膚imap客戶端，并提供多種語言。功能包括mime支持，通訊簿，文件夾和郵件搜索功能。roundcube支持各種郵件協(xié)議,如imaps、pop3s 或者 submission,可以管理多個郵箱賬號.
不過，roundcube webmail 1.4.8之前版本中存在跨站腳本漏洞。
漏洞詳情
跨站腳本（xss）漏洞 （cve-2020-16145）
跨站腳本（xss）攻擊通常指的是通過利用網(wǎng)頁開發(fā)時留下的漏洞，通過巧妙的方法注入惡意指令代碼到網(wǎng)頁，使用戶加載并執(zhí)行攻擊者惡意制造的網(wǎng)頁程序。這些惡意網(wǎng)頁程序通常是javascript，但實際上也可以包括java、 vbscript、activex、 flash 或者甚至是普通的html。攻擊成功后，攻擊者可能得到包括但不限于更高的權(quán)限（如執(zhí)行一些操作）、私密網(wǎng)頁內(nèi)容、會話和cookie等各種內(nèi)容。
該漏洞源于web應(yīng)用缺少對客戶端數(shù)據(jù)的正確驗證。該漏洞主要包含：
1.標識簽名輸入的html編輯器中可能存在跨站點腳本
2.帶有惡意svg內(nèi)容的html消息的跨站點腳本
3.帶有惡意數(shù)學內(nèi)容的html消息跨站點腳本
roundcube使用washtml html清理程序的自定義版本在電子郵件中顯示不受信任的html代碼。其中一個修改是為svg標記包含一個異常，以正確處理xml命名空間。但是，處理協(xié)議中的漏洞會導(dǎo)致清理檢查失敗。這可以通過javascript負載濫用命名空間屬性進行攻擊。例如通過包含html onload事件的惡意電子郵件來利用此漏洞。如果觸發(fā)，則可能導(dǎo)致存儲的xss攻擊。
成功的攻擊允許在經(jīng)過身份驗證的受害者會話的上下文中執(zhí)行任意javascript代碼，從而基本上模擬了登錄的用戶。這賦予了攻擊者與合法用戶相同的權(quán)力，包括但不限于：閱讀和刪除郵件，代表受害者發(fā)送電子郵件，訪問地址列表，以及進行垃圾郵件運動。攻擊者可以從個人信件中獲取其他敏感信息，這些信息可能使惡意行為者能夠訪問外部服務(wù)，例如純文本憑據(jù)和確認電子郵件。
解決方案
該漏洞已在roundcube 1.4.8中修復(fù)。
查看漏洞詳細信息 以及升級請訪問官網(wǎng)：
https://github.com/roundcube/roundcubemail/releases/tag/1.4.8
身份簽名輸入的html編輯器中潛在的xss問題
來源：techweb.com.cn

峰云服務(wù)器怎么重啟
已經(jīng)查看過綁定域名沒問題
阿里云網(wǎng)站服務(wù)器安全
小編介紹用驅(qū)動人生檢測電腦配置的教程
網(wǎng)站上有個視頻播放為什么地址后面會加上這個呢
cloud域名有價值嗎？cloud域名需要實名制嗎？
學生阿里云服務(wù)器多少錢
哪購買騰訊云服務(wù)器哪里便宜