[TLP:CLEAR] Roundcube Webmail opravuje 3 zraniteľnosti
Roundcube Webmail verziami 1.6.8 a 1.5.8 opravuje 3 zraniteľnosti [2][3]. Gentoo má k dispozícii opravenú veziu 1.6.9 ako testing [4]. Jednotlivé vydania Debianu a opravené verzie [5]: bullseye - 1.4.15+dfsg.1-1+deb11u4 bookworm - 1.6.5+dfsg-1+deb12u4 trixie, sid - 1.6.9+dfsg-1
Neautentizovanému vzdialenému útočníkovi je umožnené vykonať XSS útok zaslaním špeciálne vytvoreného mailu, čo by mu umožnilo posielať maily vydávajúc sa za obeť útoku a ukradnúť emaily, kontakty a heslo mailového účtu obete útoku. Po zneužití zraniteľnosti si útočník dokáže zabezpečiť perzistenciu. Viac informácií k zraniteľnosti je možné nájsť na [1].
Zraniteľnosť sa nachádza v produkte Roundcube Webmail vo verziách (<1.5.8) OR (>=1.6 AND <1.6.8).
Viac informácií:
- CVE-2024-42009 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 5. 8. 2024.
Neautentizovanému vzdialenému útočníkovi je umožnené vykonať XSS útok zaslaním mailu so špeciálne vytvorenou prílohou, čo by mu umožnilo posielať maily vydávajúc sa za obeť útoku a ukradnúť emaily, kontakty a heslo mailového účtu obete útoku. Po zneužití zraniteľnosti si útočník dokáže zabezpečiť perzistenciu. Viac informácií k zraniteľnosti je možné nájsť na [1]. Túto zraniteľnosť je pre úspešné zneužitie potrebné skombinovať so zraniteľnosťou CVE-2024-42010 [1].
Zraniteľnosť sa nachádza v produkte Roundcube Webmail vo verziách (<1.5.8) OR (>=1.6 AND <1.6.8).
Viac informácií:
- CVE-2024-42008 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 5. 8. 2024.
Neautentizovanému vzdialenému útočníkovi je umožnené neoprávnene pristupovať k informáciám zaslaním mailu so špeciálne vytvoreným CSS súborom. Viac informácií k zraniteľnosti je možné nájsť na [1].
Zraniteľnosť sa nachádza v produkte Roundcube Webmail vo verziách (<1.5.8) OR (>=1.6 AND <1.6.8).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Viac informácií:
- CVE-2024-42010 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-200: Exposure of Sensitive Information to an Unauthorized Actor at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 5. 8. 2024.
Odkazy
- [1] https://www.sonarsource.com/blog/government-emails-at-risk-critical-cross-site-scripting-vulnerability-in-roundcube-webmail/
- [2] https://github.com/roundcube/roundcubemail/releases/tag/1.6.8
- [3] https://github.com/roundcube/roundcubemail/releases/tag/1.5.8
- [4] https://packages.gentoo.org/packages/mail-client/roundcube
- [5] https://security-tracker.debian.org/tracker/source-package/roundcube
Publikoval Martin Krajči dňa 4. 9. 2024.
