CVSS: 6.8EPSS: 0%CPEs: 1EXPL: 0CVE-2014-9587
https://notcve.org/view.php?id=CVE-2014-9587
Multiple cross-site request forgery (CSRF) vulnerabilities in Roundcube Webmail before 1.0.4 allow remote attackers to hijack the authentication of unspecified victims via unknown vectors, related to (1) address book operations or the (2) ACL or (3) Managesieve plugins. Múltiples vulnerabilidades de CSRF en Roundcube Webmail anterior a 1.0.4 permite a atacantes remotos secuestrar la autenticación de victimas no especificadas a través de vectores no especificadas, relacionado con (1) operaciones del libro de direcciones o los plugins (2) ACL o (3) Managesieve. • http://roundcube.net/news/2014/12/18/update-1.0.4-released http://www.openwall.com/lists/oss-security/2015/01/11/3 http://www.securityfocus.com/bid/71909 https://bugs.gentoo.org/show_bug.cgi?id=534766 https://bugzilla.redhat.com/show_bug.cgi?id=1179780 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 7.5EPSS: 1%CPEs: 54EXPL: 0CVE-2013-6172
https://notcve.org/view.php?id=CVE-2013-6172
steps/utils/save_pref.inc in Roundcube webmail before 0.8.7 and 0.9.x before 0.9.5 allows remote attackers to modify configuration settings via the _session parameter, which can be leveraged to read arbitrary files, conduct SQL injection attacks, and execute arbitrary code. steps/utils/save_pref.inc en Roundcube webmail anterior a la versión 0.8.7 y 0.9.x anterior a 0.9.5 permite a atacantes remotos modificar las opciones de configuración a través del parámetro _session, que se puede aprovechar para leer archivos arbitrarios, llevar a cabo ataques de inyección SQL, y ejecutar código arbitrario. • http://lists.opensuse.org/opensuse-updates/2014-03/msg00035.html http://roundcube.net/news/2013/10/21/security-updates-095-and-087 http://trac.roundcube.net/ticket/1489382 http://www.debian.org/security/2013/dsa-2787 http://www.interworx.com/developers/changelog/version-5-0-13-build-574-2014-02-19 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 3.5EPSS: 0%CPEs: 1EXPL: 1CVE-2013-5646
https://notcve.org/view.php?id=CVE-2013-5646
Cross-site scripting (XSS) vulnerability in Roundcube webmail 1.0-git allows remote authenticated users to inject arbitrary web script or HTML via the Name field of an addressbook group. Vulnerabilidad Cross-site scripting (XSS) en Roundcube webmail v1.0-git, permite a usuarios autenticados remotamente inyectar secuencias de comandos web o HTML arbitrarias a través del campo "Name" de un grupo de la libreta de direcciones. • http://trac.roundcube.net/ticket/1489251 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 52EXPL: 2CVE-2013-5645 – Roundcube Webmail 0.9.2 Cross Site Scripting
https://notcve.org/view.php?id=CVE-2013-5645
Multiple cross-site scripting (XSS) vulnerabilities in Roundcube webmail before 0.9.3 allow user-assisted remote attackers to inject arbitrary web script or HTML via the body of a message visited in (1) new or (2) draft mode, related to compose.inc; and (3) might allow remote authenticated users to inject arbitrary web script or HTML via an HTML signature, related to save_identity.inc. Múltiples vulnerabilidades de cross-site scripting (XSS) en Roundcube webmail anterior a v0.9.3, permite a atacantes remotos asistidos por el usuario inyectar secuencias de comandos web o HTML a través del cuerpo de un mensaje visitó en el modo (1) "new" o (2) "draft", relacionado con compose.inc; y (3), permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de una firma HTML, relacionada con save_identity.inc. Roundcube Webmail version 0.9.2 suffers from a cross site scripting vulnerability. • http://lists.opensuse.org/opensuse-updates/2013-09/msg00018.html http://trac.roundcube.net/changeset/93b0a30c1c8aa29d862b587b31e52bcc344b8d16/github http://trac.roundcube.net/changeset/ce5a6496fd6039962ba7424d153278e41ae8761b/github http://trac.roundcube.net/ticket/1489251 http://trac.roundcube.net/wiki/Changelog#RELEASE0.9.3 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.0EPSS: 0%CPEs: 44EXPL: 0CVE-2013-1904
https://notcve.org/view.php?id=CVE-2013-1904
Absolute path traversal vulnerability in steps/mail/sendmail.inc in Roundcube Webmail before 0.7.3 and 0.8.x before 0.8.6 allows remote attackers to read arbitrary files via a full pathname in the _value parameter for the generic_message_footer setting in a save-perf action to index.php, as exploited in the wild in March 2013. Vulnerabilidad de recorrido de directorio absoluto en steps/mail/sendmail.inc en Roundcube Webmail anterior a 0.7.3 y 0.8.x anterior a 0.8.6 permite a atacantes remotos leer archivos arbitrarios a través de una ruta completa en el parámetro _value para la configuración generic_message_footer en una acción save-perf hacia index.php, tal y como se explotó activamente en marzo de 2013. • http://habrahabr.ru/post/174423 http://lists.opensuse.org/opensuse-updates/2013-04/msg00080.html http://lists.roundcube.net/pipermail/dev/2013-March/022328.html http://sourceforge.net/p/roundcubemail/news/2013/03/security-updates-086-and-073 http://www.openwall.com/lists/oss-security/2013/03/28/8 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •