Skip to main content

Vulnerabilidades en Roundcube – CERT-SE

agosto 8, 2024


Vulnerabilidad

Cubo redondo

Roundcube informa sobre varias vulnerabilidades en el cliente de correo web del mismo nombre. [1] La solución la ofrecen, entre otros, proveedores de hosting y alojamiento web.

Hay tres vulnerabilidades, una de las cuales (CVE-2024-42009) no requiere ninguna otra interacción que la del destinatario que abre el correo electrónico en Roundcube. Se puede realizar un exploit aprovechando una vulnerabilidad de secuencias de comandos entre sitios, que permite al atacante ejecutar JavaScript malicioso. De este modo, el atacante puede tomar el control de la cuenta de correo electrónico, incluida la lectura y el envío de correos electrónicos desde la cuenta, o el robo de la contraseña de la cuenta. [2]

Hay una actualización disponible (Roundcube 1.5.8 y 1.6.8). [1]

Productos afectados

Roundcube 1.5.7 och äldre versioner
Roundcube 1.6.7 och äldre versioner

Recomendaciones

CERT-SE recomienda instalar las actualizaciones de seguridad lo antes posible.

Fuentes

[1] https://github.com/roundcube/roundcubemail/releases

[2] https://www.sonarsource.com/blog/government-emails-at-risk-critical-cross-site-scripting-vulnerability-in-roundcube-webmail/



Source link

Saber más  A medianoche, el nivel de ciberataques había vuelto a la normalidad.
Translate »