CVE-2024-37383
CVE-2024-37383
Vexday Risk Score
85Corrigir agora
Decisão SSVC (CISA)
Act
Exploração + impacto → ação imediata
CVSS 6.1EPSS 73.3%KEV simPoC públicaNuclei —Metasploit —Patch —
Ciclo de vida
07 jun 2024Publicada no NVD
24 out 2024Exploração ativa (CISA KEV)
24 out 2024PoC pública
Recomendação: Corrigir o quanto antes — há exploração ativa confirmada.
Em resumo
O Roundcube Webmail possui uma falha que permite que atacantes injetem código malicioso através de atributos de animação SVG em emails, possibilitando roubo de informações ou ações não autorizadas em nome do usuário.
Detalhe técnico
CWE-79 (XSS Armazenado) nas versões <1.5.7 e 1.6.x <1.6.7 do Roundcube via falta de validação de elementos SVG animate. O vetor de ataque é conteúdo de email malicioso; a execução ocorre no navegador da vítima durante a renderização. Impacto inclui sequestro de sessão e roubo de credenciais.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Roundcube Webmail before 1.5.7 and 1.6.x before 1.6.7 allows XSS via SVG animate attributes.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Produtos afetados
n/a · n/aPoCs públicas encontradas — 4
githubgithub.com/bartfroklage/CVE-2024-37383-POC★ 5githubgithub.com/amirzargham/CVE-2024-37383-exploit★ 0githubgithub.com/hyungin0505/CVE-2024-37383_PoC★ 0exploitdbwww.exploit-db.com/exploits/52173não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://github.com/roundcube/roundcubemail/commit/43aaaa528646877789ec028d87924ba1accf5242https://github.com/roundcube/roundcubemail/releases/tag/1.5.7https://github.com/roundcube/roundcubemail/releases/tag/1.6.7https://lists.debian.org/debian-lts-announce/2024/06/msg00008.htmlhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-37383