← voltar
CVE-2021-44026

CVE-2021-44026

CVSS 9.8 CRITICALEPSS 42.9%● KEVCWE-89
Vexday Risk Score
90Corrigir agora
Decisão SSVC (CISA)
Act
Exploração + impacto → ação imediata
CVSS 9.8EPSS 42.9%KEV simPoC públicaNuclei Metasploit Patch referenciado
Ciclo de vida
19 nov 2021Publicada no NVD
22 jun 2023Exploração ativa (CISA KEV)
02 abr 2025PoC pública
Recomendação: Corrigir o quanto antes — há exploração ativa confirmada.
Em resumo

O Roundcube versões anteriores a 1.3.17 e 1.4.12 possui uma falha na função de busca que permite que invasores injetem comandos SQL maliciosos. Isso pode permitir que um atacante roube emails, senhas ou outros dados sensíveis do servidor de correio.

Detalhe técnico

Vulnerabilidade de injeção SQL na funcionalidade de busca e search_params do Roundcube permite que atacantes executem consultas SQL arbitrárias contra o banco de dados. O vetor de ataque explora falta de sanitização adequada dos parâmetros de busca, podendo resultar em exfiltração de dados, bypass de autenticação ou manipulação do banco de dados.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Roundcube before 1.3.17 and 1.4.x before 1.4.12 is prone to a potential SQL injection via search or search_params.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/a
PoCs públicas encontradas2
githubgithub.com/shanglyu/roundcube-cve-2021-440260githubgithub.com/skyllpro/CVE-2021-44026-PoC0
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://bugs.debian.org/1000156https://github.com/roundcube/roundcubemail/commit/c8947ecb762d9e89c2091bda28d49002817263f1https://github.com/roundcube/roundcubemail/commit/ee809bde2dcaa04857a919397808a7296681dcfahttps://lists.debian.org/debian-lts-announce/2021/12/msg00004.htmlhttps://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/NDVGIZMQJ5IOM47Y3SAAJRN5VPANKTKO/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/TP3Y5RXTUUOUODNG7HFEKWYNIPIT2NL4/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2021-44026https://www.debian.org/security/2021/dsa-5013