rcube_image.php in Roundcube Webmail before 1.4.4 allows attackers to execute arbitrary code via shell metacharacters in a configuration setting for im_convert_path or im_identify_path.
oryginał ENCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HOpensuse Backports Sle
APPOpensuse15.0Opensuse Leap
OSOpensuse15.115.2Roundcube Webmail
APPRoundcube1.2.0 – 1.2.10 (bez)1.3.0 – 1.3.11 (bez)1.4.0 – 1.4.4 (bez)
CISA KEV — szczegółyi
- Dostawcai
- Roundcube
- Produkti
- Roundcube Webmail
- Data dodania do KEVi
- 22 czerwca 2023
- Termin remediation (USA)i
- 13 lipca 2023(po terminie)
Zastosuj aktualizacje zgodnie z instrukcjami producenta.
▸ Pokaż oryginał (EN)
Apply updates per vendor instructions.
Roundcube Webmail zawiera lukę RCE, która pozwala atakującym na wykonanie kodu poprzez znaki shell metacharacters w ustawieniu konfiguracji im_convert_path lub im_identify_path.
▸ Pokaż oryginał (EN)
Roundcube Webmail contains an remote code execution vulnerability that allows attackers to execute code via shell metacharacters in a configuration setting for im_convert_path or im_identify_path.
Powiązane podatności
Sudo: eskalacja uprawnień do root poprzez opcję --chroot (CVE-2025-32463)
RCE przez deserializację PHP w Roundcube Webmail (parametr _from)
XSS w Roundcube Webmail umożliwiający kradzież i wysyłkę wiadomości e-mail
Roundcube before 1.3.17 and 1.4.x before 1.4.12 is prone to a potential SQL injection via search or search_par...
An issue was discovered in SaltStack Salt through 3002. Sending crafted web requests to the Salt API, with the...