VULHUB ™

RoundCube Webmail是一款基于浏览器的IMAP客户端（邮件客户端），它支持地址薄管理、信息搜索、拼写检查等。 RoundCube Webmail 1.0.8之前版本和1.1.4之前1.1.x版本的program/include/rcmail_output_html.php文件中的‘set_skin’函数存在目录遍历漏洞，该漏洞源于index.php脚本没有充分过滤‘_skin’参数。远程攻击者可借助目录遍历字符‘..’利用该漏洞以特定的权限读取任意文件，或执行任意代码。

RoundCube Webmail是一款基于浏览器的IMAP客户端（邮件客户端），它支持地址薄管理、信息搜索、拼写检查等。 RoundCube Webmail 1.0.8之前版本和1.1.4之前1.1.x版本的program/include/rcmail_output_html.php文件中的‘set_skin’函数存在目录遍历漏洞，该漏洞源于index.php脚本没有充分过滤‘_skin’参数。远程攻击者可借助目录遍历字符‘..’利用该漏洞以特定的权限读取任意文件，或执行任意代码。