Zraniteľnosti v Roundcube umožňujú exfiltráciu citlivých údajov a rozposielanie e-mailov

Populárna webmailová platforma Roundcube obsahuje tri vysoko závažné zraniteľnosti, ktoré by vzdialený neautentifikovaný útočník zaslaním škodlivého e-mailu mohol zneužiť na realizáciu XSS útoku, získanie perzistencie v systéme obete, krádež citlivých údajov a rozposielanie e-mailových správ.

Zraniteľné systémy:

  • Roundcube verzie 1.6.7,  1.5.7 a staršie

Opis zraniteľnosti:

Vo webmailovej platforme Roundcube bolo opravených niekoľko vysoko závažných zraniteľností, ktoré útočníkom umožňujú vykonávať škodlivé skripty JavaScript v prehliadači obete. Útočník môže získať perzistenciu v systéme a priebežne kradnúť e-maily, kontakty alebo exfiltrovať heslo do konta, keď ho obeť zadá. Môže tiež odosielať e-maily z konta obete.

CVE-2024-42008
Zraniteľnosť vo funkcii rcmail_action_mail_get->run() umožňujúca vykonať útok typu cross-site scripting pomocou škodlivej hlavičky Content-Type prílohy e-mailu. Obeť musí s prílohou interagovať.

CVE-2024-42009
Zraniteľnosť typu cross-site scripting funkcie message_body() v program/actions/mail/show.php súvisí s nesprávnym spracovaním sanitizovaného obsahu HTML. Pre zneužitie zraniteľnosti stačí, aby si obeť pozrela škodlivý e-mail.

CVE-2024-42010 (CVSSv3 skóre 7,5)
Zraniteľnosť vedúca k úniku informácií, ktorá súvisí s nedostatočným filtrovaním CSS, ktoré má na starosti funkcia mod_css_styles.

Zraniteľnosti odhalil Oskar Zeino-Mahmalat zo spoločnosti Sonar.

Možné škody:

  • Neoprávnený prístup k citlivým údajom
  • Vykonanie škodlivého kódu

Odporúčania:

Bezodkladná aktualizácia Roundcube aspoň na verzie 1.6.8 alebo 1.5.8.

Zdroje:
https://roundcube.net/news/2024/08/04/security-updates-1.6.8-and-1.5.8
https://www.helpnetsecurity.com/2024/08/07/cve-2024-42009-cve-2024-42008/
https://thehackernews.com/2024/08/roundcube-webmail-flaws-allow-hackers.html
https://nvd.nist.gov/vuln/detail/CVE-2024-42008
https://nvd.nist.gov/vuln/detail/CVE-2024-42009
https://nvd.nist.gov/vuln/detail/CVE-2024-42010