CVE-2024-42009 — 神龙十问 AI 深度分析摘要

🚨 **本质**：存储型跨站脚本 (Stored XSS)。 💥 **后果**：攻击者通过精心构造的邮件，窃取受害者邮箱内容并自动发送，导致隐私泄露。

🔍 **缺陷点**：`program/actions/mail/show.php` 中的 `message_body()` 函数存在 **反 sanitization (Desanitization)** 问题。 🧬 **CWE**：数据中未明确标注，但属于典型的输入验证/输出编码缺陷。

📦 **受影响版本**： - Roundcube Webmail **1.5.7** 及更早版本 - Roundcube Webmail **1.6.x** 系列中 **1.6.8** 之前的版本（如 1.6.7）

🕵️ **黑客能力**： 1. **窃取数据**：读取受害者收件箱中的邮件正文。 2. **自动发送**：代表受害者发送邮件（模拟受害者身份）。 3. **接管浏览器**：部分 PoC 暗示可能进一步控制受害者浏览器。

🚪 **利用门槛**： - **无需认证**即可注入恶意载荷（通过联系表单或邮件）。 - 但触发需要 **受害者登录并查看** 该恶意邮件。 - 配置简单，Python 脚本即可运行。

💣 **有现成 Exp**： - ✅ **PoC 已公开**：GitHub 上多个仓库（如 `0xbassiouny1337`, `Bhanunamikaze`）提供 Python 攻击脚本。 - ✅ **自动化扫描**：ProjectDiscovery 的 Nuclei 模板已支持检测。

🔎 **自查方法**： - 检查 Roundcube 版本号是否 ≤ 1.5.7 或 ≤ 1.6.7。 - 使用 Nuclei 模板 `http/cves/2024/CVE-2024-42009.yaml` 进行扫描。 - 监控是否有异常的邮件发送行为或 XSS 载荷注入。

🛡️ **官方已修复**： - 发布 **1.6.8** 和 **1.5.8** 安全更新。 - 建议立即升级至上述版本以消除漏洞。

⚠️ **临时规避**： - 若无法立即升级，建议 **限制邮件 HTML 解析** 或启用更严格的 CSP（内容安全策略）。 - 加强用户安全意识，警惕来源不明的邮件。 - 暂时禁用 Webmail 的某些交互功能（如联系表单）。

🔥 **优先级：高**。 - 漏洞利用简单，PoC 丰富，且直接导致 **邮件内容泄露**。 - 政府和企业邮箱风险极高，建议 **立即修补**。