以下笔记适用于 Roundcube mail 1.4.4 代码结构 ├─bin // 涉及到更新的相关bash脚本 ├─config //配置文件 ├─installer // 安装目录 ├─...在审计roundcube mail的代码过程中,我们可以把目标的重心放在program目录下,其中 include、lib、steps这三个目录分别包含了整个系统最核心的相关代码。...入口路由 在弄明白roundcube的结构时,首先我们把目标放在路由入口处。 值得注意的是steps中的代码都是.inc结尾的,所以我们必须要从入口文件进入才能走到具体的代码部分。...mvc结构 roundcube的MVC结构,出口函数为 $OUTPUT->send(); 跟随这个send函数,我们可以找到引入模板文件的位置 program/include/rcmail_output_html.php...Ui', array($this, 'alter_form_tag'), $output); return $output; } 相应的类变量被重新刷新回去 全局变量以及过滤函数 过滤函数 Roundcube
directory of your Roundcube installation....->user->get_username(); } return rcube_utils::idn_to_utf8($username); } in program/lib/roundcube...And this value is inserted into the database by call function insert_identity program/lib/roundcube/rcube_user.php.../program/lib/roundcube/rcube_user.php lime 648 $rcube->user = $user_instance; $mail_domain = $rcube-
简介 Roundcube是一个Webmail客户端,具有强大的安全功能和来自其插件存储库的广泛自定义选项。本文介绍如何进一步保护基本的现有Roundcube安装。...如果在Roundcube的初始设置中配置IMAP和STMP设置时使用了SSL,则Roundcube与电子邮件服务器之间的连接已得到保护。...但是,从您的浏览器到Roundcube的连接却不是这样,您的电子邮件本身也是明文发送的。您的Roundcube帐户本身也仅受密码保护。...使用Roundcube插件为您的Roundcube帐户添加双重身份验证。 使用GPG使用Roundcube插件对电子邮件进行签名和加密。...第一步 - 添加SSL以安全访问Roundcube 现在,如果您在浏览器中使用服务器的域名访问Roundcube安装,则将通过HTTP而不是HTTPS进行连接。
Linux,Apache,MySQL和PHP(LAMP)Stack 本节将介绍如何从头开始在您的Linode上安装Apache,MySQL,PHP和SSL。...权限表以重新加载它们: FLUSH PRIVILEGES; 注销MySQL命令提示符并返回常规Linux shell提示符: exit Roundcube 最终准备工作 安装并启用所需的PHP包:...开始配置Roundcube。Roundcube图形配置的第一步是环境检查。单击页面底部的“ 下一步”按钮继续。...删除安装程序目录 删除/var/www/roundcube/installer目录,其中包含刚刚用于配置Roundcube的网页文件: sudo rm -rf /var/www/roundcube/...Roundcube主页
在 Linux 系统上使用 LAMP(Linux + Apache + MySQL + PHP)环境搭建邮件服务器,虽然 LAMP 本身并不直接包含邮件相关组件,但它可以为邮件系统提供 Web 管理、数据库存储和前端支持...本文将围绕如何在 LAMP 环境中搭建完整的邮件服务器进行详细说明,适用于 Ubuntu、Debian、CentOS 等主流 Linux 系统。...Webmail系统:如 Roundcube,用户可以通过网页访问邮件。 反垃圾与防病毒:如 SpamAssassin、ClamAV(可选,但推荐)。...) 安装 Roundcube: sudo apt install roundcube roundcube-core roundcube-mysql roundcube-plugins复制 配置数据库连接并导入初始结构...: sudo dpkg-reconfigure roundcube-core复制 通过浏览器访问: http://yourdomain/roundcube 登录邮箱账户测试 IMAP 登录是否成功。
0x00 前言 Roundcube Webmail是一个开源的基于web的电子邮件客户端,旨在提供用户友好的界面和强大的功能,使用户能够通过web浏览器方便地访问和管理他们的电子邮件。...Roundcube支持标准的邮件协议(如IMAP和SMTP),并提供了许多常见的邮件功能,如收发邮件、管理联系人、创建日历事件等。...Roundcube Webmail被广泛应用于个人用户、企业和组织,为他们提供了一个方便、安全的电子邮件管理解决方案。...在显示电子邮件之前,Roundcube会处理某些标签的内容及其属性。...0x02 CVE编号 CVE-2024-37383 0x03 影响版本 Roundcube Webmail >1.5.7 Roundcube Webmail >1.6.7 0x04 漏洞详情 POC:
第2步 - 下载Roundcube 与Linux中的许多项目一样,有两种方法可以安装Roundcube:从包或源。Roundcube有一个PPA,但由于该项目正在积极开发中,PPA经常过时。...www/roundcube/logs/ 我们已经下载了Roundcube的代码并更新了它的位置和权限,但此时它只是部分安装。...要完成安装,我们需要通过Roundcube的GUI将Roundcube连接到我们的数据库。在我们能够做到这一点之前,我们需要告诉Apache Roundcube在哪里可以加载网站。...mysql> mysql -u roundcube -p roundcubemail roundcube/SQL/mysql.initial.sql 系统将提示您输入roundcube...然后我们准备告诉Roundcube我们的电子邮件设置并完成安装。 第5步 - 配置Roundcube 如前所述,如果您现在尝试访问Roundcube安装,您将收到错误页面。
0x00 前言 Roundcube是一款被广泛使用的开源的电子邮件程序,在全球范围内有很多组织和公司都在使用。...在服务器上成功安装Roundcube之后,它会提供给用户一个web接口,通过验证的用户就可以通过Web浏览器收发电子邮件。...0x01 漏洞描述 受CVE-2024-2961影响,攻击者可通过PHP过滤器结合iconv()函数实现对Roundcube核心内存分布修改,最终达到任意远程代码执行。...PS:需要Roundcube Webmail的账号密码登录。...: Charles FOL @cfreal_ (LEXFO/AMBIONICS) # # INFORMATIONS # # Tested on Roundcube 1.6.6, PHP 8.3.
0x01 漏洞描述 Roundcube Webmail 1.6.8之前和1.5.8之前版本在HTML内容处理中存在跨站脚本漏洞,远程威胁者可向目标用户发送恶意设计的电子邮件,当受害者在Roundcube...0x02 CVE编号 CVE-2024-42009:Roundcube Webmail跨站脚本漏洞 Roundcube Webmail 1.6.8之前和1.5.8之前版本在HTML内容处理中存在跨站脚本漏洞...CVE-2024-42008:Roundcube Webmail跨站脚本漏洞 Roundcube Webmail 1.6.8之前和1.5.8之前版本在附件处理中存在跨站脚本漏洞,远程威胁者可通过向目标用户发送带有危险...CVE-2024-42010:Roundcube Webmail信息泄露漏洞 Roundcube Webmail 1.6.8之前和1.5.8之前版本中的 mod_css_styles 对渲染的电子邮件消息中的层叠样式表...0x03 影响版本 Roundcube Webmail < 1.6.8 Roundcube Webmail < 1.5.8 0x04 漏洞详情 0x05 参考链接 https://roundcube.net
0x00 前言 Roundcube Webmail是一个开源的基于web的电子邮件客户端,旨在提供用户友好的界面和强大的功能,使用户能够通过web浏览器方便地访问和管理他们的电子邮件。...Roundcube支持标准的邮件协议(如IMAP和SMTP),并提供了许多常见的邮件功能,如收发邮件、管理联系人、创建日历事件等。...Roundcube Webmail被广泛应用于个人用户、企业和组织,为他们提供了一个方便、安全的电子邮件管理解决方案。...0x02 CVE编号 CVE-2025-49113 0x03 影响版本 Roundcube Webmail <1.5.10 1.6.0Roundcube Webmail <1.6.11 0x04.../pull/9865 https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10
漏洞情况近期,火山信安实验室监测到在Roundcube Webmail 中 upload.php 文件的一个反序列化代码执行漏洞。该漏洞序号为CVE-2025-49113属于高危漏洞。...CVE-2025-49113 是 Roundcube Webmail 中 upload.php 文件的一个反序列化代码执行漏洞。...该漏洞源于对用户输入的 _from 参数未进行严格校验,导致攻击者可以通过构造恶意序列化数据触发反序列化操作,进而执行任意代码,从而可能完全控制受影响的 Roundcube 实例。...当 Roundcube 处理该请求时,upload.php 会对 _from 参数进行反序列化操作,导致恶意代码被执行。攻击者可以利用反序列化漏洞执行系统命令、读取敏感文件或进行其他恶意操作。...最小权限原则:限制 Roundcube 运行账户的权限,避免攻击者获取高权限。
一个值得一提的 GnuCash 可选替代品是 KMyMoney,它也得到了该列表的提名,是另一个在 Linux 上管理财务的好选择。 Kodi ?...尽管今年我们没有深入地报道 Kodi, 但依旧出现在许多关于创建一个家用 Linux 音乐服务器、媒体管理工具的文章中,还出现在之前的一个关于最喜爱的开源视频播放器的投票中(如果你在家中使用 Kodi,...Roundcube Roundcube 是一个现代化、基于浏览器的邮件客户端,它提供了邮箱用户使用桌面客户端时可能用到的许多(如果不是全部)功能。...Roundcube 可以作为许多用户的邮件客户端的偶尔的替代品工作。 在我们的 Gmail的开源替代品 综述中, Roundcube 和另外四个邮件客户端均被包含在内。...其以 GPLv3 许可证发布,你可以在 GitHub 上找到 Roundcube 的源代码。
(BUT 还是被人申请下来了:CVE-2014-1433) roundcube webmail官网:http://roundcube.net/,下载最新版本。.../program/lib/Roundcube/rcube_washtml.php ,这文件实际上是一个富文本过滤类class rcube_washtml。...roundcube就是利用这个类对富文本进行过滤。 先大概看一下,我知道了这个类的特点: 用DOM对换入的HTML做解析,取出所有标签、相应属性的键和值。 利用白名单,只保留允许存在的标签和属性。...很大一点不同就是,roundcube对HTML进行拼接,拼接的过程中如果处理不好引号,很容易导致属性“值”越出引号范围,变成一个新的“属性”,比如onerror。 好,我们看到246行, roundcube.net/ticket/1490227 http://trac.roundcube.net/changeset/786aa0725/github
文章目录 隐藏 第一、Roundcube 第二、phpList 第三、WebMail Lite 第四、SquirrelMail 第五、RainLoop Webmail...第六、OpenNewsletter 第七、Postfix Admin 第一、Roundcube Roundcube Webmail是基于浏览器的多语言IMAP客户端,具有类似于应用程序的用户界面
X-Sender: info@orcspain.es User-Agent: Roundcube Webmail/1.3.8 X-AntiAbuse: This header was added to...Message-ID: X-Sender: ecomm@leviton.com User-Agent: Roundcube...3.都利用Roundcube Webmail/1.3.8软件用于群发邮件,并且发送时间间隔很短。...邮件接收服务器则是采用Dovecot, Dovecot是一个开源的 IMAP 和 POP3 邮件服务器,支持 Linux/Unix 系统。
其实答案呼之欲出了——和Roundcube的RCE类似,mail函数的第五个参数,传命令参数的地方没有进行转义。...回顾一下当时Roundcube的漏洞:因为mail函数最终是调用的系统的sendmail进行邮件发送,而sendmail支持-X参数,通过这个参数可以将日志写入指定文件。...https://github.com/PHPMailer/PHPMailer cd PHPMailer git checkout -b CVE-2016-10033 v5.2.17 单步调试可以发现确实和之前Roundcube...word=roundcube )一样,是传给mail函数的第五个参数没有正确过滤: ? 但上图是错的,因为这里是不支持bash的一些语法的,也就是说反引号、${IFS}都是无效的。...但实际上PHPMailer在调用mailPassthru前会对email进行一定的检测,这导致我们无法构造出像Roundcube那些可以直接写文件的payload,检测部分的代码如下: <?
禁用WEB收发功能(DISABLE_ROUNDCUBE=TRUE),可以进一步减少资源占用,不过非必要不建议禁止。 使用脚本时,请注意修改里面的域名和存储路径。...Shanghai" \ --env "DISABLE_CLAMAV=TRUE" \ --env "DISABLE_RSPAMD=FALSE" \ --env "DISABLE_ROUNDCUBE
TTPs为了获得对目标实体的初始访问,单位26165攻击者使用了多种技术:凭证猜测/暴力破解针对凭证的鱼叉式网络钓鱼传递恶意软件的鱼叉式网络钓鱼Outlook NTLM漏洞(CVE-2023-23397)Roundcube...侦察资源开发初始访问执行持久性防御规避凭据访问发现命令和控制横向移动收集渗出利用的CVE表15详细列出了被利用的CVE信息:CVE-2023-38831(WinRAR)CVE-2023-23397(Microsoft Outlook)CVE-2021-44026(Roundcube...Webmail)CVE-2020-35730(Roundcube Webmail)CVE-2020-12641(Roundcube Webmail)MITRE D3FEND对策表16详细列出了MITRE
主要采用Nessus工具开展此项服务工作,Nessus是一种典型的基于客户/服务器结构的网络扫描系统,Nessus服务器程序可以运行在各种类UNIX平台上,包括FreeBSD、Linux、Solaris...附:部分最新与邮箱安全有关的漏洞 CVE-2017-12628 Symantec Mail Security for SMTP响应处理拒绝服务漏洞 CVE-2016-9920 Roundcube steps
并且该功能可以集成到以下cms程序中: Django Drupal Laravel Roundcube Symfony Tiki Wiki WordPress XOOPS Yii Zenphoto 缺点就是前后端不分离
云服务器
ICP备案
云直播
即时通信 IM
对象存储
