Roundcube Mail Search INP Injection and CSRF Bypass Fix

根据用户提供的截图，我需要提取关于漏洞的关键信息，包括概述、影响范围和修复方案，并检查是否有POC代码。 1. 漏洞概述 (Vulnerability Overview): 标题: "Fix INP Injection + CSRF bypass in mail search" (修复邮件搜索中的 INP 注入 + CSRF 绕过)。 描述: "Security fix for mail search" (邮件搜索的安全修复)。 报告者: "Reported by Netilia Security Research Team"。 关联版本: "Release 1.8.10"。 2. 影响范围 (Affected Scope): 从代码变更来看，涉及的文件是 仓库。 具体文件: 和 。 从 可以看到，这是针对 版本的修复。这意味着 1.8.10 之前的版本（特别是 1.8.x 系列）可能受影响。 3. 修复方案 (Fix/Remediation): : 明确列出了修复内容： "Fix PHP protection using IP address (#2868)" (修复使用 IP 地址的 PHP 保护)。 "Security fix for mail search" (邮件搜索的安全修复)。 "Security fix bug where a password could get changed without providing the old password" (修复了一个可以在不提供旧密码的情况下更改密码的 bug)。 "Security: Fix INP Injection + CSRF bypass in mail search" (安全：修复邮件搜索中的 INP 注入 + CSRF 绕过)。 : 代码变更显示在 函数中。 修复逻辑：在调用 注册搜索请求时，增加了 参数。 具体代码： 。这看起来是为了生成一个唯一的搜索ID，防止注入或绕过。 在 判断中，也使用了 。 : 代码变更显示在 函数中。 修复逻辑：在 判断块中，注册了一个新的 INP 请求。 具体代码： 。这似乎是为了确保草稿箱搜索或相关操作的安全性。 4. POC/Exploit Code: 截图中展示的是修复代码（Commit diff），而不是攻击者的 POC 代码。 虽然修复代码中包含了 ，但这属于防御性代码（Fix），用于生成合法的 token 或 ID，而不是利用代码。 因此，没有提取到独立的 POC 利用代码块。 5. 总结构建: 将上述信息整理成简洁的中文 Markdown。 重点突出 "INP Injection" 和 "CSRF bypass"。 列出受影响的文件。 说明修复的具体逻辑（增加 search_id 验证）。 6. 最终检查: 是否包含了漏洞概述？是。 是否包含了影响范围？是（Roundcube 1.8.x 漏洞概述 漏洞名称: Roundcube INP Injection + CSRF bypass (邮件搜索中的 INP 注入与 CSRF 绕过)。 描述: 这是一个安全修复，主要针对邮件搜索功能（mail search）。攻击者可能利用该漏洞进行 INP (Instant Notification Protocol) 注入或绕过 CSRF 保护。 报告者: Netilia Security Research Team。 修复版本: Roundcube 1.8.10。 影响范围 软件: Roundcube Webmail。 受影响版本: 1.8.10 之前的版本（根据 Commit 关联的 Release 1.8.10 推断）。 涉及文件: 修复方案 开发者通过更新 JavaScript 代码，在搜索和发送功能中增加了 的注册与验证机制，以防止注入和 CSRF 攻击。 关键修复代码逻辑 (search.js): 在 函数中，注册搜索请求时增加了 参数，并在后续逻辑中验证该 ID。 关键修复代码逻辑 (send.js):** 在 函数中，针对草稿箱（Drafts）相关操作也增加了类似的注册逻辑。 POC/利用代码 截图中仅包含修复代码（Fix），未包含攻击者的 POC 或利用代码。

目標達成すべての支援者に感謝 — 100%達成しました！

Roundcube Mail Search INP Injection and CSRF Bypass Fix

このソースからの他の記事

目標達成 すべての支援者に感謝 — 100%達成しました！

Roundcube Mail Search INP Injection and CSRF Bypass Fix

このソースからの他の記事

目標達成すべての支援者に感謝 — 100%達成しました！