CVE-2020-35730
CVE-2020-35730
Vexday Risk Score
75Prioridad alta
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
CVSS 6.1EPSS 32.8%KEV simPoC públicaNuclei —Metasploit —Patch referenciado
Ciclo de vida
28 dic 2020Publicada en NVD
22 jun 2023Explotación activa (CISA KEV)
20 abr 2025PoC pública
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
En resumen
Roundcube Webmail tiene una vulnerabilidad que permite a atacantes inyectar código JavaScript malicioso en correos electrónicos de texto plano a través de enlaces especialmente construidos, que se ejecutan en el navegador de la víctima al ver el correo.
Detalle técnico
Vulnerabilidad XSS en la función linkref_addindex del archivo rcube_string_replacer.php permite que atacantes remotos inyecten JavaScript mediante referencias de enlace malformadas en correos de texto plano; requiere que el usuario vea el correo construido; resulta en secuestro de sesión, robo de credenciales o distribución de malware.
Resumen generado y traducido por IA a partir de la descripción oficial.
An XSS issue was discovered in Roundcube Webmail before 1.2.13, 1.3.x before 1.3.16, and 1.4.x before 1.4.10. The attacker can send a plain text e-mail message, with JavaScript in a link reference element that is mishandled by linkref_addindex in rcube_string_replacer.php.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Productos afectados
n/a · n/aPoCs públicas encontradas — 1
githubgithub.com/skyllpro/CVE-2021-44026-PoC★ 0⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=978491https://github.com/roundcube/roundcubemail/compare/1.4.9...1.4.10https://github.com/roundcube/roundcubemail/releases/tag/1.2.13https://github.com/roundcube/roundcubemail/releases/tag/1.3.16https://github.com/roundcube/roundcubemail/releases/tag/1.4.10https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/HCEU4BM5WGIDJWP6Z4PCH62ZMH57QYM2/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/HMLIZWKMTRCLU7KZLEQHELS4INXJ7X5Q/https://roundcube.net/download/https://www.alexbirnberg.com/roundcube-xss.htmlhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2020-35730