用户希望我总结网页截图中的漏洞信息。 1. 识别页面内容:这是一个 GitHub 的 commit 页面,项目是 。 2. 提取关键信息: Commit 标题/描述: "Fix remote image blocking bypass via a crafted body background attribute" (修复通过伪造 body 背景属性导致的远程图片阻止绕过漏洞) "Fix remote image blocking bypass via a crafted body background attribute" (重复) "Fix PHP 8.0+ deprecation - XDebug: open_url in mail send" (修复 PHP 8.0+ 弃用问题) "Security: Fix remote image blocking bypass via a crafted body background attribute" (安全修复:同上) 文件变更: (这是核心修复文件) (这是测试文件,包含 POC/利用代码) 代码变更细节 (rcmail.php): 在 函数中增加了对 属性的检查。 代码逻辑:如果 标签有 属性,则将其移除或处理,防止绕过图片阻止。 具体代码片段: 测试代码 (MonsterTest.php): 这里展示了攻击载荷(POC)。 构造了一个包含 的 HTML。 使用了 变量,表明这是一个远程图片加载测试。 代码片段: 3. 组织语言 (中文): 漏洞概述:Roundcube Webmail 存在远程图片阻止绕过漏洞。攻击者可以通过在邮件 HTML 的 标签中伪造 属性来绕过安全限制,加载远程图片。 影响范围:Roundcube Webmail (具体版本未明确列出,但根据 commit 推测是受影响的版本)。 修复方案:在 中增加了检查逻辑。如果检测到 标签包含 属性,系统会移除该属性或阻止其执行,从而防止远程图片加载。 POC/利用代码:从 中提取相关代码。 4. 最终检查:确保没有包含无关的导航栏信息,直接输出总结。 Drafting the response: 漏洞概述: Roundcube Webmail 存在远程图片阻止绕过漏洞。攻击者可以通过在邮件 HTML 的 标签中伪造 属性来绕过安全限制,加载远程图片。 影响范围: Roundcube Webmail。 修复方案: 在 中增加了检查逻辑。如果检测到 标签包含 属性,系统会移除该属性或阻止其执行,从而防止远程图片加载。 POC/利用代码: (提取测试文件中的代码) Refining the POC extraction: The code in shows: Wait, looking closer at the diff in : Line 274: (This is the new line added/modified). Actually, looking at the diff: It seems to be constructing a test case. The specific line is: (Wait, the screenshot cuts off the end, but it's clearly a background attribute). Let's look at the diff more carefully. It adds a check: And then it seems to strip it or handle it. Okay, let's write the final output. 漏洞概述 Roundcube Webmail 存在远程图片阻止绕过漏洞。攻击者可以通过在邮件 HTML 的 标签中伪造 属性来绕过安全限制,从而加载远程图片。 影响范围 Roundcube Webmail (具体受影响版本需参考项目历史,此修复提交针对该漏洞)。 修复方案 在 文件中增加了安全检查逻辑。系统现在会检测 HTML 内容中是否包含带有 属性的 标签。如果检测到该属性,系统会将其移除或进行特殊处理,以防止远程图片被加载。 POC/利用代码 以下代码片段来自测试文件 ,展示了构造包含恶意 属性的 HTML 载荷: 修复代码逻辑(来自 ):