Bug crítico de XSS no Roundcube Webmail permite que invasores roubem e-mails e dados confidenciais

Sticky 07/08/2024
roundcubemail
Visualizações: 0

A Equipe de Pesquisa de Vulnerabilidades da Sonar descobriu uma vulnerabilidade crítica de Cross-Site Scripting (XSS) no popular software de webmail de código aberto Roundcube. O Roundcube é incluído por padrão no painel de hospedagem do servidor cPanel, que tem milhões de instalações no mundo todo.

Um invasor pode acionar a vulnerabilidade para executar JavaScript arbitrário no navegador da vítima ao visualizar um e-mail malicioso, o que pode levar ao roubo de e-mails, contatos, senhas e envio não autorizado de e-mails.

Especialistas apontaram que e-mails de funcionários do governo são um alvo valioso para grupos APT que realizam campanhas de espionagem cibernética. Em outubro de 2023, a ESET Research revelou que uma vulnerabilidade semelhante foi explorada pelo grupo APT Winter Vivern para atingir entidades governamentais europeias.
Os especialistas descobriram duas vulnerabilidades XSS rastreadas como CVE-2024-42009 e CVE-2024-42008 , que têm classificações críticas e altas, respectivamente. As falhas impactam o Roundcube versão 1.6.7 e abaixo, e a versão 1.5.7 e abaixo.

Nenhuma interação do usuário é necessária para explorar com sucesso o CVE-2024-42009, enquanto para o CVE-2024-42008, um único clique da vítima é necessário.
“Eles permitem que um invasor não autenticado roube e-mails e contatos, bem como envie e-mails da conta de uma vítima. Tudo o que o usuário vítima precisa fazer é visualizar um e-mail malicioso no Roundcube.” diz o relatório publicado pela Sonar. “Os invasores podem obter uma posição persistente no navegador da vítima em reinicializações, permitindo que eles exfiltrem e-mails continuamente ou roubem a senha da vítima na próxima vez que ela for inserida.”

A empresa não divulgou detalhes técnicos das vulnerabilidades para dar tempo aos administradores de atualizar. No entanto, grupos APT ainda podem descobrir a maneira de usar essas falhas como armas. Os pesquisadores recomendam fortemente que os administradores do Roundcube apliquem os patches mais recentes (versão 1.6.8 ou 1.5.8) imediatamente. Os usuários afetados devem alterar suas senhas de e-mail e limpar os dados do site do navegador para o Roundcube.
Os especialistas também descobriram uma vulnerabilidade de divulgação de informações, rastreada como CVE-2024-42010 , que é causada por filtros insuficientes de sequências de tokens Cascading Style Sheets (CSS) em mensagens de e-mail renderizadas.

Fonte: securityaffairs.com

A Host Curitiba é uma empresa fundada em Fevereiro de 2004 iniciando suas atividades em rede em 31/07/2008 e especializada em segurança de rede web e servidores empresariais.

Av. São Paulo, 1223. João Pessoa
Paraíba - Brasil CEP: 58.030-040
Registro CNPJ: 20.962.496/0001-91

Central de Atendimento ao Cliente
Atendimento (41) 9 9555-8123
Suporte técnico (11) 9 3333-6326

https://www.hostcuritiba.com.br
https://www.hostcuritiba.net.br

contato@hostcuritiba.net.br
suporte@hostcuritiba.net.br
abuse@hostcuritiba.net.br

Outros artigos

ranwomware

Novo ‘Helldown’ Ransomware expande ataques para sistemas VMware e Linux

Sticky 19/11/2024

Os pesquisadores de segurança cibernética lançaram luz sobre uma variante do Linux de uma cepa de ransomware relativamente nova chamada Helldown, sugerindo que os agentes de ameaças estão ampliando seu foco de ataque. “Helldown implanta Windows ransomware derivado do código LockBit 3.0,” Sekoia disse em um relatório compartilhado com o The Hacker News. “Dado o recente desenvolvimento […]

google

O novo recurso de e-mail protegido do Gmail permite que os usuários criem aliases para privacidade de e-mail

Sticky 18/11/2024

O Google parece estar preparando um novo recurso chamado E-mail Blindado, que permite aos usuários criar aliases de e-mail ao se inscreverem em serviços online e combater melhor o spam. O recurso foi relatado pela primeira vez pelo Android Authority na semana passada, após a desmontagem da versão mais recente do Google Play Services para Android. A ideia é […]

wordpress

Urgente: Vulnerabilidade crítica do plugin WordPress expõe mais de 4 milhões de sites

Sticky 18/11/2024

Uma vulnerabilidade crítica de desvio de autenticação foi divulgada no plugin Really Simple Security (antigo Really Simple SSL) para WordPress que, se explorada com sucesso, pode conceder a um invasor acesso administrativo total remotamente a um site suscetível. A vulnerabilidade, rastreada como CVE-2024-10924 (pontuação CVSS: 9,8), impacta versões gratuitas e premium do plugin. O software […]