Bug 51405 - Для исправления CVE-2024-42008, 42009, 42010 нужно обновить roundcube до версии 1.6.8
Summary: Для исправления CVE-2024-42008, 42009, 42010 нужно обновить roundcube до верс...
Status: NEW
Alias: None
Product: Sisyphus
Classification: Development
Component: roundcube (show other bugs)
Version: unstable
Hardware: x86_64 Linux
: P5 major
Assignee: Vitaly Lipatov
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2024-09-05 02:59 MSK by dfpl
Modified: 2024-09-05 02:59 MSK (History)
1 user (show)

See Also:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description dfpl 2024-09-05 02:59:34 MSK
Недавно появилась новая версия roundcube, которая закрывает три уязвимости:
CVE-2024-42009  Fix XSS vulnerability in post-processing of sanitized HTML content 
CVE-2024-42008  Fix XSS vulnerability in serving of attachments other than HTML or SVG
CVE-2024-42010  Fix information leak (access to remote content) via insufficient CSS filtering

Проверил - собирается с прежним спеком, надо лишь добавить сведения о новом релизе.

См.:
https://github.com/roundcube/roundcubemail/releases/tag/1.6.8
https://sonarsource.com/blog/government-emails-at-risk-critical-cross-site-scripting-vulnerability-in-roundcube-webmail