Roundcube Webmail'dagi zaiflik: SVG feImage orqali elektron pochta ochilishini kuzatish

Roundcube Webmail - bu mashhur elektron pochta klienti bo'lib, uning xavfsizligi juda muhimdir. Zaiflik tufayli, hujumchilar 'Block remote images' (Uzoqdagi rasmlarni bloklash) funksiyasi yoqilgan bo'lsa ham, elektron pochta ochilishini kuzatishi mumkin.

Zaiflikning sababi

Roundcube'da rcube_washtml sanitizatori mavjud bo'lib, u , va elementlaridagi tashqi resurslarni bloklaydi. Ammo, elementi bundan mustasnodir. Uning href atributi noto'g'ri kod yo'li orqali o'tadi va bloklanmaydi.

Zaiflikning ta'siri

Hujumchilar elektron pochta ichiga maxsus SVG kodini qo'shishi mumkin, bu kod elementi orqali tashqi resursni yuklaydi. Bu resurs yuklanganda, hujumchi elektron pochta ochilganini bilib oladi.

Yechim

Zaiflik 1.5.13 va 1.6.13 versiyalarida tuzatilgan. Foydalanuvchilar ushbu versiyalarga yangilashlari tavsiya etiladi.

• Zaiflikni tuzatish uchun, rcube_washtml sanitizatorida elementi uchun alohida tekshiruv qo'shilgan.
• Endi, elementi href atributi bloklanadi.