Roundcube Webmail登录表单敏感信息泄露漏洞

漏洞信息详情

Roundcube Webmail登录表单敏感信息泄露漏洞

• CNNVD编号：CNNVD-201104-047
• 危害等级： 低危
  
  
• CVE编号：
  CVE-2011-1491
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2011-04-11
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2011-04-11
  
• 厂        商：
  
  roundcube
• 漏洞来源：

RoundCube Webmail是一款基于浏览器的IMAP客户端（邮件客户端），它支持地址薄管理、信息搜索、拼写检查等。

Roundcube Webmail 0.5.1之前版本中的登录表单没有正确处理认证，而是进行了意外的登陆尝试。远程认证用户可以通过安排受害者登录攻击者的账户并构成电子邮件信息，从而获取敏感信息。该漏洞与“登录CSRF”问题有关。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://roundcube.net/

来源: trac.roundcube.net

链接:http://trac.roundcube.net/changeset/4490

来源: MLIST

名称: [oss-security] 20110404 Re: CVE request: roundcube < 0.5.1 CSRF

链接:http://openwall.com/lists/oss-security/2011/04/04/50

来源: MLIST

名称: [oss-security] 20110324 Re: CVE request: roundcube < 0.5.1 CSRF

链接:http://openwall.com/lists/oss-security/2011/03/24/4

来源: trac.roundcube.net

链接:http://trac.roundcube.net/wiki/Changelog

来源: MLIST

名称: [oss-security] 20110324 CVE request: roundcube < 0.5.1 CSRF

链接:http://openwall.com/lists/oss-security/2011/03/24/3

来源：NSFOCUS
名称：19897
链接：http://www.nsfocus.net/vulndb/19897