Sårbarheter i Roundcube

Roundcube informerar om flera sårbarheter i webbmejlklienten med samma namn. [1] Lösningen erbjuds av bland annat webbbhotell och hostingleverantörer.

Det rör sig om tre sårbarheter, där en av dem (CVE-2024-42009) inte kräver någon annan interaktion än att mottagaren öppnar mejlet i Roundcube. Ett utnyttjande kan ske genom att utnyttja en cross site scripting-sårbarhet, vilket möjliggör för angriparen att köra skadliga JavaScript. Angriparen kan därmed ta kontroll över mejlkontot, inkusive läsa och skicka mejl från kontot, eller stjäla lösenordet till kontot. [2]

En uppdatering finns tillgänglig (Roundcube 1.5.8 samt 1.6.8). [1]

Påverkade produkter

Roundcube 1.5.7 och äldre versioner
Roundcube 1.6.7 och äldre versioner

Rekommendationer

CERT-SE rekommenderar att installera säkerhetsuppdateringarna så snart som möjligt.

Källor

[1] https://github.com/roundcube/roundcubemail/releases

[2] https://www.sonarsource.com/blog/government-emails-at-risk-critical-cross-site-scripting-vulnerability-in-roundcube-webmail/