Vulnerabilitatea XSS Roundcube permite injectarea de fișiere malițioase

O vulnerabilitate de tip Cross-Site Scripting (XSS), urmărită ca CVE-2024-57004, a fost identificată în Roundcube Webmail versiunea 1.6.9.

Această vulnerabilitate permite utilizatorilor autentificați de la distanță să încarce fișiere malițioase sub forma unor atașamente de e-mail, ceea ce prezintă riscuri semnificative pentru persoanele și organizațiile care utilizează popularul client webmail open-source.

Vulnerabilitatea provine din analiza insuficientă a datelor de intrare ale utilizatorului în timpul manipulării fișierelor atașate din cadrul e-mailului.

Atunci când un utilizator accesează acest fișier, scriptul încorporat în fișierul malițios se execută în browserul său. Acest lucru poate duce la accesul neautorizat la date sensibile sau la exploatarea ulterioară a contului utilizatorului.

Cauza principală a vulnerabilității CVE-2024-57004 constă în incapacitatea de a valida și de a elimina conținutul fișierelor și tipurile MIME în timpul încărcării. Mai exact, vulnerabilitatea permite atacatorilor să injecteze JavaScript arbitrar sau scripturi malițioase în fișierele atașate.

Acest tip de atac XSS este deosebit de periculos deoarece necesită o interacțiune minimă din partea utilizatorului. Atacatorul trebuie doar să aibă acces la un cont autentificat din sistem pentru a crea și a trimite un e-mail malițios.

Echipa de dezvoltare Roundcube a recunoscut această vulnerabilitate și a lansat un patch în versiunea 1.6.10 pentru a o remedia.

Patch-ul introduce o validare mai strictă a datelor de intrare în timpul încărcării fișierelor și aplică politicile de securitate a conținutului (CSP) pentru gestionarea atașamentelor.

Se recomandă aplicarea ultimelor actualizări de securitate disponibile și implementarea de măsuri de securitate stricte.

Sursă: https://cybersecuritynews.com/roundcube-xss-vulnerability/