14 November/2017

Vulnerabilidade no RoundCube

O CERT.Bahia alerta sobre vulnerabilidade no RoundCube que permite o acesso a arquivos arbitrários no sistema de arquivos do servidor da aplicação. O ataque é restrito a usuários previamente autenticados e acontece através da manipulação de elementos de formulário.

A correção pode ser feita através da atualização para uma das seguintes versões: 1.3.3, 1.2.7, 1.1.10 ou 1.0.12.

Mais informações podem ser encontradas nos links abaixo e pelo identificador CVE-2017-16651.

https://roundcube.net/news/2017/11/08/security-updates-1.3.3-1.2.7-and-1.1.10
https://github.com/roundcube/roundcubemail/issues/6026
https://gist.github.com/thomascube/3ace32074e23fca0e6510e500bd914a1