OSS ウェブメールクライアント Roundcube CVE-2021-44026 SQLインジェクション攻撃のリスクがあるそうなので、利用している方は注意が必要です。

 

情報元はこちら。

Security updates 1.4.12 and 1.3.17 released

 

セキュリティアップデート1.4.12および1.3.17がリリースされました
公開日：2021年11月12日

 

RoundcubeWebmailのLTSバージョン1.4および1.3のセキュリティアップデートを公開しました。どちらにも、最近発見された2つのSQLインジェクションとXSSの脆弱性に対する修正が含まれています。1.4.12リリースには、課題追跡システムからのいくつかの一般的な改善も含まれています。

 

セキュリティ修正
・mimetypeの不一致の警告で添付ファイルのファイル名拡張子を処理する際のXSSの問題を修正
・一部のセッション変数を介したSQLインジェクションの可能性を修正

 

 

更新されたバージョンのためのGithubのダウンロードページ上のリリースノートでフルチェンジログを参照してください 1.4.12および1.3.17。

 

Roundcubeのすべての生産的なインストールをこれらの新しいバージョンで更新することを強くお勧めします。

 

注意してください
上記のセキュリティ修正は、最近リリースされたバージョン1.5.0のRoundcubeWebmailにすでに含まれています。参照用に1.5.0リリースノート （CANGELOG）を参照してください。

 

＞＞Release Roundcube Webmail 1.4.12 · roundcube/roundcubemail

Release Roundcube Webmail 1.4.12 · roundcube/roundcubemail · GitHub

 

Anker Soundcore Liberty Air 2 Pro（ワイヤレスイヤホン Bluetooth 対応）【完全ワイヤレスイヤホン / Bluetooth5.0対応 / ウルトラノイズキャンセリング/外音取り込み/ワイヤレス充電対応 / IPX4防水規格 / 最大26時間音楽再生 / 専用アプリ対応/HearID機能/通話ノイズリダクション/PSE技術基準適合】ブラック