Vulnerabilidades en Roundcube – CERT-SE
Publicado: 2024-08-06 14:02
Vulnerabilidad
Cubo redondo
Roundcube informa sobre varias vulnerabilidades en el cliente de correo web del mismo nombre. [1] La solución la ofrecen, entre otros, proveedores de hosting y alojamiento web.
Hay tres vulnerabilidades, una de las cuales (CVE-2024-42009) no requiere ninguna otra interacción que la del destinatario que abre el correo electrónico en Roundcube. Se puede realizar un exploit aprovechando una vulnerabilidad de secuencias de comandos entre sitios, que permite al atacante ejecutar JavaScript malicioso. De este modo, el atacante puede tomar el control de la cuenta de correo electrónico, incluida la lectura y el envío de correos electrónicos desde la cuenta, o el robo de la contraseña de la cuenta. [2]
Hay una actualización disponible (Roundcube 1.5.8 y 1.6.8). [1]
Productos afectados
Roundcube 1.5.7 och äldre versioner
Roundcube 1.6.7 och äldre versioner
Recomendaciones
CERT-SE recomienda instalar las actualizaciones de seguridad lo antes posible.