[TLP:CLEAR] Roundcube Webmail opravuje 3 zraniteľnosti

Roundcube Webmail verziami 1.6.8 a 1.5.8 opravuje 3 zraniteľnosti [2][3]. Gentoo má k dispozícii opravenú veziu 1.6.9 ako testing [4]. Jednotlivé vydania Debianu a opravené verzie [5]: bullseye - 1.4.15+dfsg.1-1+deb11u4 bookworm - 1.6.5+dfsg-1+deb12u4 trixie, sid - 1.6.9+dfsg-1

Roundcube - XSS (CVE-2024-42009)

Neautentizovanému vzdialenému útočníkovi je umožnené vykonať XSS útok zaslaním špeciálne vytvoreného mailu, čo by mu umožnilo posielať maily vydávajúc sa za obeť útoku a ukradnúť emaily, kontakty a heslo mailového účtu obete útoku. Po zneužití zraniteľnosti si útočník dokáže zabezpečiť perzistenciu. Viac informácií k zraniteľnosti je možné nájsť na [1].

Zraniteľnosť sa nachádza v produkte Roundcube Webmail vo verziách (<1.5.8) OR (>=1.6 AND <1.6.8).

Viac informácií:

Zraniteľnosť bola verejne oznámená 5. 8. 2024.

Roundcube - XSS (CVE-2024-42008)

Neautentizovanému vzdialenému útočníkovi je umožnené vykonať XSS útok zaslaním mailu so špeciálne vytvorenou prílohou, čo by mu umožnilo posielať maily vydávajúc sa za obeť útoku a ukradnúť emaily, kontakty a heslo mailového účtu obete útoku. Po zneužití zraniteľnosti si útočník dokáže zabezpečiť perzistenciu. Viac informácií k zraniteľnosti je možné nájsť na [1]. Túto zraniteľnosť je pre úspešné zneužitie potrebné skombinovať so zraniteľnosťou CVE-2024-42010 [1].

Zraniteľnosť sa nachádza v produkte Roundcube Webmail vo verziách (<1.5.8) OR (>=1.6 AND <1.6.8).

Viac informácií:

Zraniteľnosť bola verejne oznámená 5. 8. 2024.

Roundcube - information leak (CVE-2024-42010) CVSS 7.5 (High)

Neautentizovanému vzdialenému útočníkovi je umožnené neoprávnene pristupovať k informáciám zaslaním mailu so špeciálne vytvoreným CSS súborom. Viac informácií k zraniteľnosti je možné nájsť na [1].

Zraniteľnosť sa nachádza v produkte Roundcube Webmail vo verziách (<1.5.8) OR (>=1.6 AND <1.6.8).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Viac informácií:

Zraniteľnosť bola verejne oznámená 5. 8. 2024.


Publikoval Martin Krajči dňa 4. 9. 2024.

CESNET CERTS Logo