Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) ανακοίνωσε ένα μέτριας σοβαρότητας ελάττωμα ασφαλείας που επηρεάζει το λογισμικό email Roundcube.
Η ευπάθεια αυτή, με κωδικό CVE-2023-43770 (βαθμολογία CVSS: 6.1) σχετίζεται με ένα σφάλμα στη δέσμη ενεργειών μεταξύ τοποθεσιών (XSS), που προκαλείται από τον ανεπαρκή χειρισμό των συνδέσμων αναφορών σε μηνύματα απλού κειμένου.
Δείτε περισσότερα: CISA: Προσθέτει ευπάθεια του Chrome στον Κατάλογο KEV
Σύμφωνα με την CISA, το Roundcube Webmail παρουσιάζει μια ευπάθεια cross-site scripting (XSS) που μπορεί να αποκαλύψει πληροφορίες μέσω κακόβουλων παραπομπών σε απλά μηνύματα κειμένου.
Σύμφωνα με μια περιγραφή σφάλματος στην Εθνική Βάση Δεδομένων Ευπάθειας (NVD) του NIST, η ευπάθεια επηρεάζει τις εκδόσεις του Roundcube πριν την έκδοση 1.4.14, τις εκδόσεις 1.5.x πριν την έκδοση 1.5.4 και τις εκδόσεις 1.6.x πριν την έκδοση 1.6.3.
Το ελάττωμα αντιμετωπίστηκε από τους συντηρητές του Roundcube με την έκδοση 1.6.3, η οποία κυκλοφόρησε στις 15 Σεπτεμβρίου 2023. Ο ερευνητής ασφαλείας της Zscaler, Niraj Shivtarkar, φαίνεται ότι ανακάλυψε και ανέφερε την ευπάθεια.
Παρά το γεγονός ότι δεν έχει ακόμα αποσαφηνιστεί ποια είναι η φύση της ευπάθειας, οι αδυναμίες του προγράμματος-πελάτη email που βασίζεται στο web έχουν εκμεταλλευτεί από παράγοντες απειλών που σχετίζονται με τη Ρωσία, όπως το APT28 και το Winter Vivern.
Διαβάστε ακόμη: Νέες ευπάθειες σε Cisco, Fortinet, VMware απαιτούν άμεση ενημέρωση
Ο Ομοσπονδιακός Πολιτικός Εκτελεστικός Κλάδος (FCEB) των ΗΠΑ έχει δώσει εντολή για την εφαρμογή διορθώσεων που προσφέρονται από τον προμηθευτή τους έως τις 4 Μαρτίου 2024, με σκοπό να προστατεύσει τα δίκτυά του από πιθανές απειλές.
Πηγή: thehackernews.com
 ανακοίνωσε ένα μέτριας σοβαρότητας ελάττωμα ασφαλείας που επηρεάζει το λογισμικό email Roundcube.){kind=link}