Roundcube Webmail ha enfrentado varias vulnerabilidades críticas que podrían ser explotadas por atacantes para comprometer la seguridad de los usuarios, una de las cuales es «crítica», en su cliente de correo electrónico basado en navegador Webmail.
Productos Afectados
Correo web Roundcube
- 1.6.x, versiones anteriores a 1.6.8
- 1.5.x, versiones anteriores a 1.5.8.
Impacto
CVE-2024-42008: (XSS en adjuntos) Esta vulnerabilidad permite a un actor malicioso inyectar y ejecutar scripts a través de archivos adjuntos que no son HTML ni SVG. Si un usuario visualiza un correo con un adjunto manipulado, el script se ejecuta en su navegador, lo que podría llevar al robo de información sensible o a acciones no autorizadas en la cuenta del usuario.
CVE-2024-42009: (XSS en contenido HTML) Esta falla se encuentra en el post procesamiento del contenido HTML sanitizado. Puede inyectar JavaScript malicioso en correos electrónicos, que se ejecuta cuando el usuario visualiza el correo, permitiendo el robo de correos electrónicos, credenciales y la capacidad de enviar correos desde la cuenta comprometida.
CVE-2024-42010: (Filtrado insuficiente de CSS) Una vulnerabilidad que permite la fuga de información debido al filtrado insuficiente de contenido CSS. Un atacante puede aprovechar esta falla para acceder a contenido remoto y exponer información sensible del usuario sin su conocimiento.
Recomendación
- Actualizar a la última versión disponible del producto afectado.
Referencias
https://roundcube.net/news/2024/08/04/security-updates-1.6.8-and-1.5.8
https://github.com/roundcube/roundcubemail/releases
https://github.com/roundcube/roundcubemail/releases/tag/1.5.8