Il problema:

È stata scoperta una vulnerabilità critica di Cross-Site Scripting (XSS) in Roundcube, un software di posta elettronica open source ampiamente utilizzato da agenzie governative e università.

• Questa vulnerabilità consente agli attaccanti di eseguire JavaScript arbitrario nel browser della vittima semplicemente facendogli visualizzare un'e-mail dannosa.
• Gli aggressori possono sfruttare "facilmente" queste vulnerabilità perché non è richiesta alcuna interazione da parte dell'utente oltre all'apertura dell'e-mail o è richiesto solo un singolo clic, il che li rende particolarmente pericolosi.
  Pericoloso? Vulnerabilità che portano al furto di e-mail, contatti e password, nonché all'invio di e-mail non autorizzate dall'account della vittima!

Chi e quando:

• La ricerca ESET ha evidenziato che vulnerabilità simili erano già state sfruttate dal gruppo APT Winter Vivern per prendere di mira enti governativi europei.
• Il team di ricerca sulle vulnerabilità del Sonar ha recentemente scoperto una vulnerabilità critica Cross-Site Scripting (XSS) in Roundcube.
• Correzioni Roundcube rilasciate il 4 agosto 2024

La nostra nota:

Questo è un buon esempio di collaborazione e reattività tra i ricercatori (Oskar Zeino-Mahmalat) e il fornitore (Aleksander Machniak)! :)

Soluzione:

Se utilizzi Roundcube nella versione 1.6.7 e precedenti e nella versione 1.5.7 e precedenti,
devi seguire la patch Roundcube qui https://roundcube.net/news/2024/08/04/security-updates-1.6.8-and-1.5 8

Fonte: Sonar - vulnerability-in-roundcube-webmail
- CVE: CVE-2024-42008
- CVE: CVE-2024-42009