检测

Roundcube Webmail 1.7.x < 1.7.1 SQL 注入

high Web App Scanning 插件 ID 115259

语言:

简介

Roundcube Webmail 1.7.x < 1.7.1 SQL 注入

描述

根据其自我报告的版本号,Roundcube Webmail 版本低于1.6.x1.6.16或1.7.x低于 1.7.1. 因此,它可能会受到 virtuser_query 插件中通过 preg_replace() 反斜线转义绕过而进行的未经认证的 SQL 注入的影响。

请注意,扫描程序并未测试这些问题,而是仅依据应用程序自我报告的版本号进行判断。

解决方案

升级到 Roundcube Webmail 1.7.1 或更高版本。

另见

https://github.com/roundcube/roundcubemail/commit/3406183a9976e36f992d3468f37d0e2346526ee9

https://github.com/roundcube/roundcubemail/commit/87124cc7136a48b5fa9d2b40dfead6e9dcaeaf4b

https://roundcube.net/news/2026/05/24/security-updates-1.6.16-and-1.7.1

插件详情

严重性: High

ID: 115259

类型: Version Based

发布时间: 2026/6/4

最近更新时间: 2026/6/4

扫描模板: basic, full, pci, scan

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: High

基本分数: 7.6

矢量: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2026-48842

CVSS v3

风险因素: High

基本分数: 8.1

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS 分数来源: CVE-2026-48842

漏洞信息

CPE: cpe:2.3:a:roundcube:webmail:*:*:*:*:*:*:*:*

易利用性: No known exploits are available

漏洞发布日期: 2026/5/24

参考资料信息

CVE: CVE-2026-48842