Els investigadors advertixen sobre vulnerabilitats en el programari de correu web Roundcube que podrien ser explotades per a robar informació confidencial dels comptes objectiu.
Anàlisi
L’equip d’investigació de vulnerabilitats de Sonar va descobrir dos vulnerabilitats crítiques de tipus Cross-Site Scripting (XSS) en el programari de correu web de codi obert Roundcube. Roundcube està inclòs de manera predeterminada en el panell d’allotjament de servidors cPanel, que compta amb milions d’instal·lacions a tot el món.
Un atacant pot activar la vulnerabilitat per a executar JavaScript arbitrari en el navegador de la víctima quan veu un correu electrònic maliciós, la qual cosa podria provocar el robatori de correus electrònics, contactes, contrasenyes i l’enviament de correus electrònics no autoritzats.
Les vulnerabilitats XSS han sigut identificades com CVE-2024-42009 i CVE-2024-42008, que tenen qualificacions crítiques i altes respectivament.
No es requerix interacció de l’usuari per a explotar amb èxit CVE-2024-42009, mentres que per a CVE-2024-42008, es necessita un sol clic per part de la víctima.
Recursos afectats
- Versions 1.6.7 i anteriors de Roundcube, i a les versions 1.5.7 i anteriors.
Recomanacions
Els investigadors recomanen encaridament als administradors de Roundcube que apliquen els pegats més recents (versió 1.6.8 o 1.5.8) immediatament. Els usuaris afectats han de canviar les seues contrasenyes de correu electrònic i esborrar les dades del lloc del seu navegador per a Roundcube.
Referències