نقص امنیتی در نرم‌افزار مدیریت ایمیل Roundcube

نقص امنیتی در نرم‌افزار مدیریت ایمیل Roundcube

تاریخ ایجاد

پژوهشگران امنیتی در نرم‌افزار مدیریت ایمیل Roundcube آسیب‌پذیری XSS کشف را نموده¬اند که به مهاجمان این امکان را می‌دهد تا با اجرای کدهای مخرب جاوا اسکریپت در مرورگر کاربران، اطلاعات حساسی از جمله ایمیل‌ها، لیست مخاطبین و گذرواژه‌ها را سرقت کنند. بهره‌برداری موفق از این آسیب‌پذیری می‌تواند به مهاجمان اجازه دهد بدون نیاز به احراز هویت، ایمیل‌ها و لیست مخاطبین قربانی را به سرقت برده و حتی از حساب آن¬ها برای ارسال ایمیل استفاده کنند. مهاجمان می‌توانند حتی پس از راه‌اندازی مجدد سیستم هم، به طور مداوم به مرورگر قربانی دسترسی پیدا کنند. سه آسیب‌پذیری امنیتی در Roundcube عبارتند از:

  • CVE-2024-42008: آسیب‌پذیری XSS که از طریق یک پیوست ایمیل مخرب که دارای یک هدر Content-Type خطرناک است به وجود می‌آید و فقط یک کلیک توسط قربانی برای اجرای این آسیب‌پذیری لازم است.
  • CVE-2024-42009: آسیب‌پذیری XSS که ناشی از پردازش پس از پاکسازی محتوای HTML می‌باشد و فقط مشاهده ایمیل توسط قربانی برای بهره‌برداری از این آسیب‌پذیری کافی است.
  • CVE-2024-42010: افشای اطلاعات که به دلیل فیلتر کردن ناکافی CSS به وجود می¬آید و برای بهره‌برداری از آن فقط مشاهده ایمیل کافی است.
     

محصولات تحت تأثیر
 نسخه‌های قبل از  1.6.8 و 1.5.8 نرم‌افزار  Roundcube Webmail آسیب‌پذیر هستند.

توصیه‌های امنیتی
 اعمال بروزرسانی نرم‌افزار Roundcube Webmail به نسخه‌های  1.6.8 و 1.5.8 توصیه می‌شود.
 

منبع خبر:


 https://thehackernews.com/2024/08/roundcube-webmail-flaws-allow-hackers.html