Le problème :

Une vulnérabilité critique de type Cross-Site Scripting (XSS) a été découverte dans Roundcube, un logiciel de messagerie Web open source largement utilisé par les agences gouvernementales et les universités.

• Cette vulnérabilité permet aux attaquants d'exécuter du JavaScript arbitraire dans le navigateur de la victime en lui faisant simplement consulter un e-mail malveillant.
• Les attaquants peuvent « facilement » exploiter ces vulnérabilités, car aucune interaction de l'utilisateur au-delà de l'ouverture de l'e-mail de l'attaquant n'est nécessaire ou un seul clic est nécessaire, ce qui les rend particulièrement dangereuses.
  Dangereuses? Des vulnérabilités conduisant au vol d'e-mails, de contacts et de mots de passe, ainsi qu'à l'envoi d'e-mails non autorisés à partir du compte de la victime !

Qui et quand :

• Les recherches d'ESET ont souligné que des vulnérabilités similaires avaient déjà été exploitées par le groupe APT Winter Vivern pour cibler des entités gouvernementales européennes.
• L'équipe de recherche sur les vulnérabilités de Sonar a récemment découvert une vulnérabilité critique de type Cross-Site Scripting (XSS) dans Roundcube.
• Correctifs du côté Roundcube publiés le 4 août 2024

Notre remarque :

Il s'agit d'un bon exemple de collaboration et de réactivité entre les chercheurs (Oskar Zeino-Mahmalat) et le fournisseur (Aleksander Machniak) ! :)

Solution :

Si vous utilisez Roundcube dans la version 1.6.7 et inférieure, et dans la version 1.5.7 et inférieure,
vous devez suivre le correctif Roundcube ici https://roundcube.net/news/2024/08/04/security-updates-1.6.8-and-1.5.8

Source: Sonar - vulnerability-in-roundcube-webmail
- CVE: CVE-2024-42008
- CVE: CVE-2024-42009