| Vulnerability Name: | CVE-2012-3508 (CCN-77798) | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| Assigned: | 2012-08-14 | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| Published: | 2012-08-14 | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| Updated: | 2012-08-29 | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| Summary: | Cross-site scripting (XSS) vulnerability in program/lib/washtml.php in Roundcube Webmail 0.8.0 allows remote attackers to inject arbitrary web script or HTML by using "javascript:" in an href attribute in the body of an HTML-formatted email. | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| CVSS v3 Severity: | 5.3 Medium (CCN CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)
| ||||||||||||||||||||||||||||||||||||||||||||||||||||
| CVSS v2 Severity: | 4.3 Medium (CVSS v2 Vector: AV:N/AC:M/Au:N/C:N/I:P/A:N) 3.7 Low (Temporal CVSS v2 Vector: AV:N/AC:M/Au:N/C:N/I:P/A:N/E:H/RL:OF/RC:C)
3.7 Low (CCN Temporal CVSS v2 Vector: AV:N/AC:M/Au:N/C:N/I:P/A:N/E:H/RL:OF/RC:C)
| ||||||||||||||||||||||||||||||||||||||||||||||||||||
| Vulnerability Type: | CWE-79 | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| Vulnerability Consequences: | Gain Access | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| References: | Source: MITRE Type: CNA CVE-2012-3508 Source: CCN Type: RoundCube Webmail Web Site Roundcube - open source webmail software Source: CCN Type: SA50212 RoundCube Webmail Larry Skin Email Subject Script Insertion Vulnerability Source: CCN Type: SA50279 RoundCube Webmail "href" Email Body Script Insertion Vulnerability Source: SECUNIA Type: Vendor Advisory 50279 Source: CONFIRM Type: UNKNOWN http://sourceforge.net/news/?group_id=139281&id=309011 Source: CONFIRM Type: UNKNOWN http://trac.roundcube.net/ticket/1488613 Source: MLIST Type: UNKNOWN [oss-security] 20120820 CVE-request: Roundcube XSS issues Source: MLIST Type: UNKNOWN [oss-security] 20120820 Re: CVE-request: Roundcube XSS issues Source: CCN Type: OSVDB ID: 84740 Roundcube Webmail Larry Skin Email Subject XSS Source: CCN Type: OSVDB ID: 84741 RoundCube Webmail Email Body href HTML Attribute XSS Source: MISC Type: UNKNOWN http://www.securelist.com/en/advisories/50279 Source: CCN Type: BID-55051 RoundCube Webmail 'href' Email Body HTML-injection Vulnerability Source: XF Type: UNKNOWN roundcube-emailbody-xss(77798) Source: CONFIRM Type: Patch https://github.com/roundcube/roundcubemail/commit/5ef8e4ad9d3ee8689d2b83750aa65395b7cd59ee Source: EXPLOIT-DB Type: EXPLOIT Offensive Security Exploit Database [08-16-2012] | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| Vulnerable Configuration: | Configuration 1: Configuration CCN 1:  Denotes that component is vulnerable | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| Oval Definitions | |||||||||||||||||||||||||||||||||||||||||||||||||||||
| |||||||||||||||||||||||||||||||||||||||||||||||||||||
| BACK | |||||||||||||||||||||||||||||||||||||||||||||||||||||