| Vulnerability Name: | CVE-2020-35730 (CCN-193983) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Assigned: | 2020-12-12 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Published: | 2020-12-12 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Updated: | 2022-04-24 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Summary: | An XSS issue was discovered in Roundcube Webmail before 1.2.13, 1.3.x before 1.3.16, and 1.4.x before 1.4.10. The attacker can send a plain text e-mail message, with JavaScript in a link reference element that is mishandled by linkref_addindex in rcube_string_replacer.php. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| CVSS v3 Severity: | 6.1 Medium (CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N) 5.8 Medium (Temporal CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N/E:H/RL:O/RC:C)
5.8 Medium (CCN Temporal CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N/E:H/RL:O/RC:C)
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| CVSS v2 Severity: | 4.3 Medium (CVSS v2 Vector: AV:N/AC:M/Au:N/C:N/I:P/A:N)
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Vulnerability Type: | CWE-79 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Vulnerability Consequences: | Cross-Site Scripting | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| References: | Source: MITRE Type: CNA CVE-2020-35730 Source: CCN Type: Debian Bug report logs - #978491 roundcube: CVE-2020-35730: XSS vulnerability via malious HTML or plaintext messages Source: CONFIRM Type: Issue Tracking, Mailing List, Third Party Advisory https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=978491 Source: XF Type: UNKNOWN roundcube-cve202035730-xss(193983) Source: CCN Type: Rroundcube GIT Repository Fix cross-site scripting (XSS) via HTML or Plain text messages Source: CONFIRM Type: Patch, Third Party Advisory https://github.com/roundcube/roundcubemail/compare/1.4.9...1.4.10 Source: CONFIRM Type: Release Notes, Third Party Advisory https://github.com/roundcube/roundcubemail/releases/tag/1.2.13 Source: CONFIRM Type: Release Notes, Third Party Advisory https://github.com/roundcube/roundcubemail/releases/tag/1.3.16 Source: CONFIRM Type: Release Notes, Third Party Advisory https://github.com/roundcube/roundcubemail/releases/tag/1.4.10 Source: FEDORA Type: Mailing List, Third Party Advisory FEDORA-2021-73359af51c Source: FEDORA Type: Mailing List, Third Party Advisory FEDORA-2021-2cb0643316 Source: MISC Type: Vendor Advisory https://roundcube.net/download/ Source: MISC Type: Broken Link https://www.alexbirnberg.com/roundcube-xss.html Source: CCN Type: WhiteSource Vulnerability Database CVE-2020-35730 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Vulnerable Configuration: | Configuration 1: Configuration 2: Configuration 3:  Denotes that component is vulnerable | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Oval Definitions | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| BACK | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||