CVE-2026-35540 CVSS 5.4 中危

CVE-2026-35540 Roundcube Webmail CSS清理不当SSRF漏洞

披露日期: 2026-04-03

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-35540

漏洞类型

SSRF (Server-Side Request Forgery)

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Roundcube Webmail

漏洞概述

Roundcube Webmail 在 1.6.0 至 1.6.14 之前的版本中存在安全漏洞。该漏洞源于对 HTML 邮件消息中的级联样式表（CSS）清理机制不充分。攻击者可以发送包含恶意样式表链接的邮件，若链接指向本地网络主机，服务器在渲染邮件时可能会触发服务端请求伪造（SSRF）或导致信息泄露。此漏洞无需用户交互即可被利用，对内网安全构成潜在威胁，建议尽快修复。

技术细节

该漏洞的根本原因是 Roundcube Webmail 在处理 HTML 邮件时，未对 CSS 中的外部资源引用进行严格的限制和过滤。通常，Web 应用应当阻止加载不可信的第三方资源，尤其是指向内网地址的链接。然而，在此受影响版本中，当服务器解析并渲染包含 CSS 的 HTML 邮件时，会自动解析 `<link>` 标签或 `@import` 规则中指定的 URL。攻击者可以利用这一缺陷，发送一封指向内网敏感资源（如 `http://127.0.0.1/admin` 或云元数据服务 `http://169.254.169.254`）的 HTML 邮件。当目标服务器处理该邮件时，会代替攻击者向内网地址发起 HTTP 请求。由于请求源自服务器本身，它可能绕过防火墙限制，从而实现对内网服务的探测（SSRF）或窃取敏感实例信息。这种机制允许攻击者将邮件服务器作为跳板，扫描后端内网段或访问仅限本地访问的管理接口。

攻击链分析

STEP 1

步骤1

攻击者向目标 Roundcube 邮箱发送一封特制的 HTML 邮件。

STEP 2

步骤2

邮件中包含指向内网敏感地址（如 127.0.0.1 或内网网段）的 CSS 链接。

STEP 3

步骤3

Roundcube 服务器接收邮件并在后台解析/预览 HTML 内容。

STEP 4

步骤4

服务器在渲染 CSS 时，向攻击者指定的内网地址发起 HTTP 请求。

STEP 5

步骤5

攻击者根据响应时间或错误信息确认内网资源可达性，实现 SSRF 探测或信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2026-35540: Roundcube CSS Sanitization Issue -->
<!-- This HTML email attempts to load a stylesheet from an internal resource -->
<!DOCTYPE html>
<html>
<head>
    <style>
        @import url("http://127.0.0.1:8080/internal-sensitive-data");
    </style>
    <link rel="stylesheet" href="http://169.254.169.254/latest/meta-data/">
</head>
<body>
    <p>Check your server logs for outbound connections to internal IPs.</p>
</body>
</html>

影响范围

Roundcube Webmail >= 1.6.0, < 1.6.14

防御指南

临时缓解措施

建议管理员立即升级到修复版本。如无法升级，可配置邮件网关过滤包含外部 CSS 资源引用的邮件，或暂时禁用 HTML 邮件的自动渲染功能，以降低服务器端发起恶意请求的风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表