1. 分析用户请求: 目标:总结网页截图中关于漏洞的关键信息。 格式:简洁的中文Markdown。 内容要求:包括漏洞概述、影响范围、修复方案。如果有POC或利用代码,必须完整提取。 约束:直接输出中文总结,不要输出分析过程。跳过导航栏、广告、页脚。 2. 扫描图片内容: 标题:Roundcube Webmail 1.6.14。 发布信息:2 weeks ago (2周前)。 主要描述:这是一个安全更新,修复了最近报告的严重漏洞。 漏洞列表(bullet points): 任意文件写入漏洞(arbitrary file write via unsafe deserialization in redisrememberme session handler),由PiyushGPTY报告。 密码更改时未提供旧密码(password could get changed without providing the old password),由PiyushGPTY报告。 IMAP注入和CSRF漏洞(IMAP Injection + CSRF bugs via a mail search),由Mantis Research Team报告。 远程图像阻塞漏洞(remote image blocking bugs via various SRC attribute abuses),由nullthreaded报告。 远程图像阻塞漏洞(remote image blocking bugs via a cached body background attribute),由nullthreaded报告。 固定位置注入漏洞(fixed position injection bugs via use of important),由nullthreaded报告。 XSS漏洞(XSS issue in a HTML attachment preview),由Jakub Jelínek报告。 SSBF漏洞(SSBF - Information Disclosure via stylsheet links to a local network hosts),由Georgios Stompidas (aka Frey)报告。 建议:这是一个稳定版本,建议更新所有生产实例。更新前请备份数据。 CHANGELOG(变更日志): 修复了通过IPv6地址的Postgres连接。 安全:修复了redisrememberme会话处理程序中的不安全反序列化导致的任意文件写入漏洞。 安全:修复了未提供旧密码即可更改密码的漏洞。 安全:修复了通过邮件搜索的IMAP注入和CSRF漏洞。 安全:修复了通过各种SRC属性滥用的远程图像阻塞漏洞。 安全:修复了通过缓存的body背景属性的远程图像阻塞漏洞。 安全:修复了通过使用important的固定位置注入漏洞。 安全:修复了HTML附件预览中的XSS漏洞。 安全:修复了通过样式表链接到本地网络主机的SSBF(信息泄露)漏洞。 Assets(资产):列出了各种版本的下载文件(tar.gz, tar.xz, zip等)。 3. 提取关键信息并翻译/总结: 漏洞概述:Roundcube Webmail 1.6.14 版本发布,修复了多个严重安全漏洞。 具体漏洞点: 1. 任意文件写入(Redis会话处理程序反序列化)。 2. 密码重置漏洞(无需旧密码)。 3. IMAP注入 + CSRF(邮件搜索功能)。 4. 远程图像阻塞(SRC属性滥用)。 5. 远程图像阻塞(缓存的body背景属性)。 6. 固定位置注入(CSS 属性)。 7. XSS(HTML附件预览)。 8. 信息泄露(SSBF,样式表链接到内网主机)。 影响范围:Roundcube Webmail 1.6.x 系列(特别是1.6.13及更早版本,虽然截图没明说,但通常更新是修复旧版本)。 修复方案:升级到 Roundcube Webmail 1.6.14 版本。 POC/代码:截图中没有包含具体的POC代码或利用代码,只有漏洞描述。 4. 构建Markdown输出: 标题:Roundcube Webmail 1.6.14 安全更新总结 漏洞概述:Roundcube Webmail 1.6.14 版本发布,修复了近期报告的多个严重安全漏洞。 漏洞详情: 任意文件写入:Redis rememberme 会话处理程序中存在不安全的反序列化漏洞。 密码重置绕过:可以在不提供旧密码的情况下更改密码。 IMAP注入与CSRF:通过邮件搜索功能触发。 远程图像阻塞:通过滥用各种 SRC 属性或缓存的 body 背景属性触发。 固定位置注入:通过 CSS 中的 属性触发。 XSS(跨站脚本):存在于 HTML 附件预览功能中。 信息泄露 (SSBF):通过样式表链接到本地网络主机导致。 修复方案:建议所有生产实例更新到 Roundcube Webmail 1.6.14 版本。更新前请备份数据。 POC/利用代码:截图中未包含具体的 POC 代码或利用代码。 5. 最终检查: 是否简洁?是。 是否包含所有要求部分?是。 是否跳过了无关信息?是。 语言是否正确?是。 6. 输出结果。 Roundcube Webmail 1.6.14 安全更新总结 漏洞概述 Roundcube Webmail 1.6.14 版本发布,这是一个安全更新,旨在修复近期报告的多个严重安全漏洞。 漏洞详情 本次更新修复了以下具体漏洞: 任意文件写入:Redis rememberme 会话处理程序中存在不安全的反序列化漏洞(由 PiyushGPTY 报告)。 密码重置绕过:可以在不提供旧密码的情况下更改密码(由 PiyushGPTY 报告)。 IMAP注入与CSRF:通过邮件搜索功能触发的 IMAP 注入和 CSRF 漏洞(由 Mantis Research Team 报告)。 远程图像阻塞: 通过滥用各种 SRC 属性触发(由 nullthreaded 报告)。 通过缓存的 body 背景属性触发(由 nullthreaded 报告)。 固定位置注入:通过 CSS 中的 属性触发(由 nullthreaded 报告)。 XSS(跨站脚本):存在于 HTML 附件预览功能中(由 Jakub Jelínek 报告)。 信息泄露 (SSBF):通过样式表链接到本地网络主机导致的信息泄露(由 Georgios Stompidas 报告)。 影响范围 Roundcube Webmail 1.6.x 系列(特别是 1.6.13 及更早版本)。 修复方案 升级版本:建议所有生产实例更新到 Roundcube Webmail 1.6.14。 注意事项:在更新前请务必备份数据。 POC/利用代码 截图中未包含具体的 POC 代码或利用代码。