ID CVE-2011-4078
Summary include/iniset.php in Roundcube Webmail 0.5.4 and earlier, when PHP 5.3.7 or 5.3.8 is used, allows remote attackers to trigger a GET request for an arbitrary URL, and cause a denial of service (resource consumption and inbox outage), via a Subject header containing only a URL, a related issue to CVE-2011-3379.
References
Vulnerable Configurations
  • cpe:2.3:a:roundcube:webmail:0.1:*:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.1:alpha:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.1:alpha:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.1:beta:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.1:beta:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.1:beta2:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.1:beta2:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.1:rc1:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.1:rc1:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.1:rc2:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.1:rc2:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.1.1:*:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.1.1:*:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.2:*:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.2:alpha:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.2:alpha:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.2:beta:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.2:beta:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.2.1:*:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.2.1:*:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.3:*:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.3:*:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.3:beta:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.3:beta:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.3:rc1:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.3:rc1:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.3.1:*:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.3.1:*:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.4:*:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.4:*:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.4:beta:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.4:beta:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.4.1:*:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.4.1:*:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.4.2:*:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.4.2:*:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.5:*:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.5:*:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.5:beta:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.5:beta:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.5:rc:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.5:rc:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.5.1:*:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.5.1:*:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.5.2:*:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.5.2:*:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.5.3:*:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.5.3:*:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.1:-:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.1:-:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.1:20050811:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.1:20050811:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.1:20050820:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.1:20050820:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.1:20051007:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.1:20051007:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.1:20051021:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.1:20051021:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.1:stable:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.1:stable:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.2:-:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.2:-:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.2:stable:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.2:stable:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.2.2:*:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.2.2:*:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.3:-:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.3:-:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.3:stable:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.3:stable:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.4:-:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.4:-:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.5:-:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.5:-:*:*:*:*:*:*
  • cpe:2.3:a:roundcube:webmail:0.5.4:*:*:*:*:*:*:*
    cpe:2.3:a:roundcube:webmail:0.5.4:*:*:*:*:*:*:*
  • cpe:2.3:a:php:php:5.3.7:*:*:*:*:*:*:*
    cpe:2.3:a:php:php:5.3.7:*:*:*:*:*:*:*
  • cpe:2.3:a:php:php:5.3.8:*:*:*:*:*:*:*
    cpe:2.3:a:php:php:5.3.8:*:*:*:*:*:*:*
CVSS
Base: 5.0 (as of 29-08-2017 - 01:30)
Impact:
Exploitability:
CWE CWE-399
CAPEC
Access
VectorComplexityAuthentication
NETWORK LOW NONE
Impact
ConfidentialityIntegrityAvailability
NONE NONE PARTIAL
cvss-vector via4 AV:N/AC:L/Au:N/C:N/I:N/A:P
refmap via4
bid 50402
confirm http://trac.roundcube.net/ticket/1488086
hp
  • HPSBMU02786
  • SSRT100877
mlist [oss-security] 20111026 Re: CVE Request -- Round Cube Webmail -- DoS (unavailability to access user's INBOX) after receiving an email message with the URL in the Subject
xf webmail-uri-dos(71025)
Last major update 29-08-2017 - 01:30
Published 03-11-2011 - 15:55
Last modified 29-08-2017 - 01:30
Back to Top