遠端 Web 伺服器執行的 Roundcube Webmail 是低於 1.5.8 的 1.5.x 版或低於 1.6.8 的 1.6.x 版，因此會受到多個弱點影響。

  - Roundcube 1.5.7 及其之前版本以及 1.6.x 至 1.6.7 (含) 版的 rcmail_action_mail_get->run() 中包含跨網站指令碼弱點，因此遠端攻擊者可以透過提供包含危險 Content-Type 標頭的惡意電子郵件附件來竊取並傳送受害者的電子郵件。(CVE-2024-42008)

  - Roundcube 1.5.7 及其之前版本以及 1.6.x 至 1.6.7 (含) 版中包含跨網站指令碼弱點，因此遠端攻擊者可以透過濫用 program/actions/mail/show.php 中 message_body() 的去除清理問題的特製電子郵件訊息，來竊取並傳送受害者的電子郵件。(CVE-2024-42009)

  - Roundcube 1.5.7 及其之前版本以及 1.6.x 至 1.6.7 (含) 版中的 mod_css_styles 允許未充分篩選轉譯的電子郵件訊息中的階層式樣式表 (CSS) token 序列，這使遠端攻擊者可以藉此取得敏感資訊。(CVE-2024-42010)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

Roundcube Webmail 1.5.x < 1.5.8 / 1.6.x < 1.6.8 多個弱點

high Nessus Plugin ID 205297

版本 1.2