2024年8月8日,Tenable发布了一个关于Debian 12系统Roundcube安全更新的公告,编号为dsa-5743。该公告指出,远程运行的Debian 12主机上安装的包存在多个安全漏洞,具体涉及到CVE-2024-42008、CVE-2024-42009和CVE-2024-42010。
这些漏洞被归类为严重漏洞,CVSS2评分为9.4,CVSS3评分为9.3。漏洞矢量为AV:N/AC:L/Au:N/C:C/I:C/A:N和CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N。
已知存在可利用的漏洞,这些漏洞可以与其他已知的漏洞(如CVE-2024-41713)进行链式攻击,从而允许未经授权的远程攻击者读取服务器上的任意文件。相关的CWE(Common Weakness Enumeration)为CWE-79(Improper Neutralization of Input During Web Page Generation(‘Cross-site Scripting’))。
此安全更新公告建议用户尽快应用安全补丁,以防止这些漏洞被利用。补丁发布日期为2024年8月8日,漏洞发布日期为2024年8月5日。有关更多信息,请参阅相关CVE报告。