Roundcube 邮件系统发现重要漏洞，需要尽快升级

8月18日消息 roundcube是一款被广泛使用的开源的web电子邮件程序，在全球范围内有很多组织和公司都在使用。roundcube webmail在linux中最常用,它提供了基于web浏览器的可换肤imap客户端，并提供多种语言。功能包括mime支持，通讯簿，文件夹和邮件搜索功能。roundcube支持各种邮件协议,如imaps、pop3s 或者 submission,可以管理多个邮箱账号.
不过，roundcube webmail 1.4.8之前版本中存在跨站脚本漏洞。
漏洞详情
跨站脚本（xss）漏洞 （cve-2020-16145）
跨站脚本（xss）攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是javascript，但实际上也可以包括java、 vbscript、activex、 flash 或者甚至是普通的html。攻击成功后，攻击者可能得到包括但不限于更高的权限（如执行一些操作）、私密网页内容、会话和cookie等各种内容。
该漏洞源于web应用缺少对客户端数据的正确验证。该漏洞主要包含：
1.标识签名输入的html编辑器中可能存在跨站点脚本
2.带有恶意svg内容的html消息的跨站点脚本
3.带有恶意数学内容的html消息跨站点脚本
roundcube使用washtml html清理程序的自定义版本在电子邮件中显示不受信任的html代码。其中一个修改是为svg标记包含一个异常，以正确处理xml命名空间。但是，处理协议中的漏洞会导致清理检查失败。这可以通过javascript负载滥用命名空间属性进行攻击。例如通过包含html onload事件的恶意电子邮件来利用此漏洞。如果触发，则可能导致存储的xss攻击。
成功的攻击允许在经过身份验证的受害者会话的上下文中执行任意javascript代码，从而基本上模拟了登录的用户。这赋予了攻击者与合法用户相同的权力，包括但不限于：阅读和删除邮件，代表受害者发送电子邮件，访问地址列表，以及进行垃圾邮件运动。攻击者可以从个人信件中获取其他敏感信息，这些信息可能使恶意行为者能够访问外部服务，例如纯文本凭据和确认电子邮件。
解决方案
该漏洞已在roundcube 1.4.8中修复。
查看漏洞详细信息 以及升级请访问官网：
https://github.com/roundcube/roundcubemail/releases/tag/1.4.8
身份签名输入的html编辑器中潜在的xss问题
来源：techweb.com.cn

峰云服务器怎么重启
已经查看过绑定域名没问题
阿里云网站服务器安全
小编介绍用驱动人生检测电脑配置的教程
网站上有个视频播放为什么地址后面会加上这个呢
cloud域名有价值吗？cloud域名需要实名制吗？
学生阿里云服务器多少钱
哪购买腾讯云服务器哪里便宜