CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Vulnerabilitate 0-Click identificată în RoundCube

Sursă: https://cybersecuritynews.com

Roundcube a lansat versiunea 1.7 pentru a remedia șase vulnerabilități de securitate, printre care două vulnerabilități critice de tip stored cross-site scripting (XSS), a căror exploatare nu necesită nicio interacțiune din partea utilizatorului.

Cea mai severă problemă, înregistrată sub numărul CVE-2026-54432, implică o vulnerabilitate de tip stored XSS, provocată de un fișier atașat de tip MIME unescaped, afișat pe pagina de avertizare privind validarea fișierelor atașate.

Un atacator poate crea un șir de tip MIME rău intenționat care, atunci când este redat fără o sanitizare corespunzătoare, execută cod JavaScript arbitrar în sesiunea utilizatorului. Deoarece payload-ul se declanșează la încărcarea paginii de avertizare, nu este necesară nicio acțiune de accesare sau descărcare, ceea ce face din aceasta un adevărat vector de atac de tip zero-click.

O vulnerabilitate foarte asemănătoare, CVE-2026-54433, afectează motorul de redare a plain-textului al Roundcube. Această vulnerabilitate de tip stored XSS de tip zero-click permite atacatorilor să injecteze scripturi rău intenționate în e-mailuri, care se execută în mod automat atunci când utilizatorul doar vizualizează un mesaj în modul plain-text, ocolind semnalele vizuale pe care utilizatorii se bazează de obicei pentru a identifica conținutul malițios.

Pe lângă patch-urile de securitate, această versiune include mai multe remedieri de stabilitate: gestionarea corectă a cererilor HEAD în static.php, corectarea logicii de recuperare a parolelor OAuth, rezolvarea unei erori 416 la anumite cereri Range și remedieri pentru încărcarea necorespunzătoare a logo-ului temei.

Actualizarea remediază și erori la importul fișierelor vCard 2.1, scurgeri de fișiere temporare generate de Imagick în cazul unor operațiuni eșuate, precum și actualizările excesive ale sesiunilor în configurațiile care utilizează Redis sau Memcache.

Având în vedere că ambele vulnerabilități XSS se exploatează fără nicio acțiune din partea utilizatorului (zero-click), instituțiile care utilizează Roundcube ar trebui să acorde prioritate acestei actualizări față de ciclurile obișnuite de aplicare a patch-urilor.

Atacatorii care exploatează CVE-2026-54432 sau CVE-2026-54433 ar putea prelua controlul asupra sesiunii, sustrage datele de autentificare sau accesa fără autorizație căsuțele de e-mail, fără ca utilizatorul să facă altceva decât să vizualizeze mesajele de e-mail în mod obișnuit.

Avizul Roundcube recomandă în mod explicit actualizarea tuturor configurațiilor de producție și efectuarea unu backup complet a datelor înainte de aplicarea patch-ului.

Sursă: https://cybersecuritynews.com/roundcube-0-click-vulnerability/

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică |
login