Múltiples vulnerabilidades en Roundcube – CERT-FR
Reanudar
El 4 de agosto de 2024, Roundcube lanzó parches para las vulnerabilidades críticas CVE-2024-42008 y CVE-2024-42009 que afectan a su servidor de correo electrónico.
Estas vulnerabilidades permiten inyecciones remotas de código indirecto (XSS) que pueden, por ejemplo, conducir a la recuperación del contenido de los correos electrónicos de los usuarios. Además, el atacante también puede enviar correos electrónicos haciéndose pasar por la víctima.
La vulnerabilidad CVE-2024-42009 se puede explotar simplemente abriendo el correo electrónico atrapado, mientras que la vulnerabilidad CVE-2024-42008 requiere que el usuario realice una acción adicional.
Roundcube es un producto de código abierto y los parches están disponibles públicamente. Por tanto, el CERT-FR prevé la publicación de códigos de funcionamiento públicos a corto plazo. Vulnerabilidades de este tipo se han explotado activamente en los servidores de Roundcube Webmail en el pasado.
Soluciones
Se han lanzado las versiones de parche 1.6.8 y 1.5.8 LTS.
Además, para explotar las vulnerabilidades es necesario abrir correos electrónicos o incluso hacer clic en los elementos que contienen. Por tanto, el CERT-FR recomienda limitar al máximo la interacción con mensajes de origen no verificado.