漏洞信息
# N/A
## 概述
在 Roundcube Webmail 的某些旧版本中发现了跨站脚本攻击 (XSS) 漏洞。该漏洞源于允许预览 `text/xml` 类型的恶意 XML 附件。
## 影响版本
- Roundcube Webmail 1.3.12 之前的版本
- Roundcube Webmail 1.4.x 1.4.5 之前的版本
## 细节
攻击者可以通过发送包含恶意 XML 代码的附件触发此漏洞。由于 `text/xml` 类型的文件被列入允许预览的文件类型列表,因此当用户尝试预览此类附件时,恶意脚本可能会被执行。
## 影响
此漏洞可能导致用户受到跨站脚本攻击,攻击者可以利用此漏洞执行恶意脚本,从而获取敏感信息或执行其他恶意操作。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
漏洞描述信息
An issue was discovered in Roundcube Webmail before 1.3.12 and 1.4.x before 1.4.5. There is XSS via a malicious XML attachment because text/xml is among the allowed types for a preview.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Roundcube Webmail 跨站脚本漏洞
漏洞描述信息
Roundcube Webmail是一款基于浏览器的开源IMAP客户端,它支持地址薄管理、信息搜索、拼写检查等。 Roundcube Webmail 1.3.12之前版本和1.4.5之前的1.4.x版本中存在跨站脚本漏洞。该漏洞源于网络系统或产品未能正确地过滤资源或文件路径中的特殊元素。攻击者可利用该漏洞访问受限目录之外的位置。
CVSS信息
N/A
漏洞类别
跨站脚本