一、 漏洞 CVE-2020-12641 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
Roundcube Webmail 1.4.4之前的版本中的rcube_image.php文件存在漏洞,攻击者可以通过在`im_convert_path`或`im_identify_path`配置设置中使用shell元字符来执行任意代码。

## 影响版本
- Roundcube Webmail 1.4.4 之前的版本

## 漏洞细节
攻击者可以通过在`im_convert_path`或`im_identify_path`配置设置中插入shell元字符来执行任意代码。这些配置设置未被妥善处理,导致潜在的代码执行漏洞。

## 漏洞影响
此漏洞允许攻击者执行任意代码,可能进一步导致服务器被完全控制,数据泄露或其他严重安全问题。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
rcube_image.php in Roundcube Webmail before 1.4.4 allows attackers to execute arbitrary code via shell metacharacters in a configuration setting for im_convert_path or im_identify_path.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Roundcube Webmail 操作系统命令注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Roundcube Webmail是一款基于浏览器的开源IMAP客户端,它支持地址薄管理、信息搜索、拼写检查等。 Roundcube Webmail 1.4.4 版本之前版本中的 rcube_image.php 文件存在操作系统命令注入漏洞。攻击者可借助 shell 元字符利用该漏洞执行任意代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2020-12641 的公开POC
# POC 描述 源链接 神龙链接
1 CVE-2020-12641: Command Injection via “_im_convert_path” Parameter in Roundcube Webmail https://github.com/mbadanoiu/CVE-2020-12641 POC详情
2 MAL-004: Command Injection Bypass for CVE-2020-12641 in Roundcube Webmail https://github.com/mbadanoiu/MAL-004 POC详情
3 Roundcube Webmail before 1.4.4 contains a command injection caused by shell metacharacters in configuration settings for im_convert_path or im_identify_path, letting attackers execute arbitrary code, exploit requires attacker to control configuration settings. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2020/CVE-2020-12641.yaml POC详情
三、漏洞 CVE-2020-12641 的情报信息
四、漏洞 CVE-2020-12641 的评论

暂无评论

发表评论