محققان امنیت سایبری جزئیاتی از نقصهای امنیتی در نرمافزار مدیریت ایمیل Roundcube را فاش کردهاند که میتواند به منظور اجرای جاوا اسکریپت مخرب در مرورگر وب قربانی و سرقت اطلاعات حساس از اکانت آنها در شرایط خاص مورد سوء استفاده قرار گیرد.
زمانی که قربانی ایمیل مخربی را در Roundcube که توسط نفوذگر ارسال شده مشاهده میکند، مهاجم میتواند جاوا اسکریپت دلخواه را در مرورگر قربانی اجرا کند. نفوذگران میتوانند از این آسیبپذیری برای سرقت ایمیلها، مخاطبین و رمز عبور ایمیل قربانی و همچنین ارسال ایمیل از اکانت قربانی سوء استفاده کنند.
آسیبپذیریهای جدید Roundcube به شرح زیر است:
▫️ CVE-2024-42008: آسیبپذیری XSS که از طریق پیوست ایمیل مخرب و با یک هدر خطرناک Content-Type ارائه میگردد.
▫️ CVE-2024-42009: آسیبپذیری XSS که از پردازش پس از پاکسازی محتوای HTML نشات میگیرد.
▫️ CVE-2024-42010: آسیبپذیری افشای اطلاعات که از فیلتر ناکافی CSS ناشی میشود.
این آسیبپذیریها در نسخههای 1.6.8 و 1.5.8 نرمافزار Roundcube Webmail که در 4 آگوست 2024، برطرف شد.
https://thehackernews.com/2024/08/roundcube-webmail-flaws-allow-hackers.html
