CVSS: 3.5EPSS: 0%CPEs: 6EXPL: 0CVE-2015-8105
https://notcve.org/view.php?id=CVE-2015-8105
Cross-site scripting (XSS) vulnerability in program/js/app.js in Roundcube webmail before 1.0.7 and 1.1.x before 1.1.3 allows remote authenticated users to inject arbitrary web script or HTML via the file name in a drag-n-drop file upload. Vulnerabilidad de XSS en program/js/app.js en Roundcube webmail en versiones anteriores a 1.0.7 y 1.1.x en versiones anteriores a 1.1.3 permite a usuarios remotos autenticados inyectar secuencias de comandos web o HTML arbitrarios a través del nombre de archivo en una subida de archivo de arrastrar y pegar. • http://lists.opensuse.org/opensuse-updates/2015-11/msg00030.html http://trac.roundcube.net/changeset/dd7db2179/github http://trac.roundcube.net/ticket/1490530 https://security.gentoo.org/glsa/201603-03 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 4EXPL: 1CVE-2015-1433
https://notcve.org/view.php?id=CVE-2015-1433
program/lib/Roundcube/rcube_washtml.php in Roundcube before 1.0.5 does not properly quote strings, which allows remote attackers to conduct cross-site scripting (XSS) attacks via the style attribute in an email. program/lib/Roundcube/rcube_washtml.php en Roundcube anterior a 1.0.5 no cita correctamente las cadenas, lo que permite a atacantes remotos realizar ataques de XSS a través del atributo de estilo en un email. • http://lists.fedoraproject.org/pipermail/package-announce/2015-February/149877.html http://lists.opensuse.org/opensuse-updates/2015-02/msg00064.html http://roundcube.net/news/2015/01/24/security-update-1.0.5 http://trac.roundcube.net/changeset/786aa0725/github http://trac.roundcube.net/ticket/1490227 http://www.openwall.com/lists/oss-security/2015/01/31/3 http://www.openwall.com/lists/oss-security/2015/01/31/6 http://www.securityfocus.com/bid/72401 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.8EPSS: 0%CPEs: 1EXPL: 0CVE-2014-9587
https://notcve.org/view.php?id=CVE-2014-9587
Multiple cross-site request forgery (CSRF) vulnerabilities in Roundcube Webmail before 1.0.4 allow remote attackers to hijack the authentication of unspecified victims via unknown vectors, related to (1) address book operations or the (2) ACL or (3) Managesieve plugins. Múltiples vulnerabilidades de CSRF en Roundcube Webmail anterior a 1.0.4 permite a atacantes remotos secuestrar la autenticación de victimas no especificadas a través de vectores no especificadas, relacionado con (1) operaciones del libro de direcciones o los plugins (2) ACL o (3) Managesieve. • http://roundcube.net/news/2014/12/18/update-1.0.4-released http://www.openwall.com/lists/oss-security/2015/01/11/3 http://www.securityfocus.com/bid/71909 https://bugs.gentoo.org/show_bug.cgi?id=534766 https://bugzilla.redhat.com/show_bug.cgi?id=1179780 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 7.5EPSS: 1%CPEs: 54EXPL: 0CVE-2013-6172
https://notcve.org/view.php?id=CVE-2013-6172
steps/utils/save_pref.inc in Roundcube webmail before 0.8.7 and 0.9.x before 0.9.5 allows remote attackers to modify configuration settings via the _session parameter, which can be leveraged to read arbitrary files, conduct SQL injection attacks, and execute arbitrary code. steps/utils/save_pref.inc en Roundcube webmail anterior a la versión 0.8.7 y 0.9.x anterior a 0.9.5 permite a atacantes remotos modificar las opciones de configuración a través del parámetro _session, que se puede aprovechar para leer archivos arbitrarios, llevar a cabo ataques de inyección SQL, y ejecutar código arbitrario. • http://lists.opensuse.org/opensuse-updates/2014-03/msg00035.html http://roundcube.net/news/2013/10/21/security-updates-095-and-087 http://trac.roundcube.net/ticket/1489382 http://www.debian.org/security/2013/dsa-2787 http://www.interworx.com/developers/changelog/version-5-0-13-build-574-2014-02-19 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 4.3EPSS: 0%CPEs: 52EXPL: 2CVE-2013-5645 – Roundcube Webmail 0.9.2 Cross Site Scripting
https://notcve.org/view.php?id=CVE-2013-5645
Multiple cross-site scripting (XSS) vulnerabilities in Roundcube webmail before 0.9.3 allow user-assisted remote attackers to inject arbitrary web script or HTML via the body of a message visited in (1) new or (2) draft mode, related to compose.inc; and (3) might allow remote authenticated users to inject arbitrary web script or HTML via an HTML signature, related to save_identity.inc. Múltiples vulnerabilidades de cross-site scripting (XSS) en Roundcube webmail anterior a v0.9.3, permite a atacantes remotos asistidos por el usuario inyectar secuencias de comandos web o HTML a través del cuerpo de un mensaje visitó en el modo (1) "new" o (2) "draft", relacionado con compose.inc; y (3), permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de una firma HTML, relacionada con save_identity.inc. Roundcube Webmail version 0.9.2 suffers from a cross site scripting vulnerability. • http://lists.opensuse.org/opensuse-updates/2013-09/msg00018.html http://trac.roundcube.net/changeset/93b0a30c1c8aa29d862b587b31e52bcc344b8d16/github http://trac.roundcube.net/changeset/ce5a6496fd6039962ba7424d153278e41ae8761b/github http://trac.roundcube.net/ticket/1489251 http://trac.roundcube.net/wiki/Changelog#RELEASE0.9.3 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •