Roundcube Webmail Cross-Site Scripting (XSS) Vulnerability — Roundcube Webmail contains a cross-site scripting (XSS) vulnerability that allows an attacker to send a plain text e-mail message with Javascript in a link reference element that is mishandled by linkref_addinindex in rcube_string_replacer.php.
Roundcube Webmail contains a critical XSS vulnerability in the linkref_addinindex function that allows attackers to inject malicious JavaScript through plain text email messages with crafted link references. This vulnerability affects email processing and can lead to session hijacking, credential theft, and unauthorized access to user mailboxes.
تحتوي دالة linkref_addinindex في ملف rcube_string_replacer.php على معالجة غير آمنة للروابط في رسائل البريد الإلكتروني النصية. يمكن للمهاجم إرسال رسالة بريد إلكترونية تحتوي على كود JavaScript ضار في عنصر مرجع الرابط الذي يتم تنفيذه في متصفح المستخدم. هذا يسمح بسرقة ملفات تعريف الارتباط والجلسات والبيانات الحساسة.
ثغرة XSS حرجة في Roundcube Webmail تسمح للمهاجمين بحقن JavaScript ضار من خلال رسائل بريد إلكترونية نصية عادية تحتوي على مراجع روابط مصنوعة بعناية. تؤثر هذه الثغرة على معالجة البريد الإلكتروني وقد تؤدي إلى اختراق الجلسات وسرقة بيانات الاعتماد والوصول غير المصرح به إلى صناديق البريد.
Update Roundcube Webmail to version 1.4.10 or later immediately. Apply security patches from the official Roundcube project repository. Implement input validation and output encoding for all user-supplied data. Deploy Web Application Firewall (WAF) rules to detect and block XSS payloads. Review email processing configurations and disable JavaScript execution in email previews.
قم بتحديث Roundcube Webmail إلى الإصدار 1.4.10 أو أحدث فوراً. طبق تصحيحات الأمان من مستودع مشروع Roundcube الرسمي. طبق التحقق من صحة المدخلات وترميز المخرجات لجميع البيانات المدخلة من المستخدم. نشر قواعد جدار حماية تطبيقات الويب (WAF) للكشف عن حمولات XSS وحجبها. راجع إعدادات معالجة البريد الإلكتروني وعطل تنفيذ JavaScript في معاينات البريد.