Roundcube Webmail多個XSS高危漏洞安全風險通告
責編:gltian |2024-08-07 11:30:12| 漏洞概述 | |||
| 漏洞名稱 | Roundcube Webmail 多個XSS高危漏洞 | ||
| 漏洞編號 | CVE-2024-42008、CVE-2024-42009 | ||
| 公開時間 | 2024-08-04 | 影響量級 | 十萬級 |
| 奇安信評級 | 高危 | CVSS 3.1分數 | 9.8 |
| 威脅類型 | 代碼執行 | 利用可能性 | 高 |
| POC狀態 | 未公開 | 在野利用狀態 | 未發現 |
| EXP狀態 | 未公開 | 技術細節狀態 | 未公開 |
| 危害描述:未經身份驗證的攻擊者可以竊取電子郵件、聯系人和密碼等敏感信息。 | |||
01?漏洞詳情
影響組件
Roundcube Webmail是一個開源的基于Web的電子郵件客戶端,使用戶能夠隨時隨地訪問和處理他們的電子郵件。
漏洞描述
近日,奇安信CERT監測到官方修復Roundcube Webmail 跨站腳本漏洞(CVE-2024-42008)和Roundcube Webmail 跨站腳本漏洞(CVE-2024-42009)。Roundcube Webmail在處理HTML和SVG等附件的過程中存在跨站腳本漏洞。未經身份驗證的攻擊者可以竊取電子郵件、聯系人和密碼等敏感信息。鑒于之前的Roundcube Webmai漏洞曾多次在2023年被APT28、Winter Vivern等APT組織利用過,建議客戶盡快做好自查及防護。
02?影響范圍
影響版本
Roundcube Webmai < 1.6.8
Roundcube Webmai < 1.5.8
其他受影響組件
無
03?受影響資產情況
奇安信鷹圖資產測繪平臺數據顯示,Roundcube Webmail 跨站腳本漏洞(CVE-2024-42008)和Roundcube Webmail 跨站腳本漏洞(CVE-2024-42009)關聯的全球風險資產總數為3003195個,關聯IP總數為342649個。全球風險資產分布情況如下:
04?處置建議
安全更新
目前官方已發布更新補丁,請及時升級至最新版本:
https://github.com/roundcube/roundcubemail/releases
05?參考資料
[1]https://roundcube.net/news/2024/08/04/security-updates-1.6.8-and-1.5.8
[2]https://www.sonarsource.com/blog/government-emails-at-risk-critical-cross-site-scripting-vulnerability-in-roundcube-webmail/