Los investigadores advierten sobre vulnerabilidades en el software de correo web Roundcube que podrían ser explotadas para robar información confidencial de las cuentas objetivo.
Análisis
El equipo de investigación de vulnerabilidades de Sonar descubrió dos vulnerabilidades críticas de tipo Cross-Site Scripting (XSS) en el software de correo web de código abierto Roundcube. Roundcube está incluido de forma predeterminada en el panel de alojamiento de servidores cPanel, que cuenta con millones de instalaciones en todo el mundo.
Un atacante puede activar la vulnerabilidad para ejecutar JavaScript arbitrario en el navegador de la víctima cuando ve un correo electrónico malicioso, lo que podría provocar el robo de correos electrónicos, contactos, contraseñas y el envío de correos electrónicos no autorizados.
Las vulnerabilidades XSS han sido identificadas como CVE-2024-42009 y CVE-2024-42008 , que tienen calificaciones críticas y altas respectivamente.
No se requiere interacción del usuario para explotar con éxito CVE-2024-42009, mientras que para CVE-2024-42008, se necesita un solo clic por parte de la víctima.
Recursos afectados
-
- Versiones 1.6.7 y anteriores de Roundcube, y a las versiones 1.5.7 y anteriores.
Recomendaciones
-
-
Los investigadores recomiendan encarecidamente a los administradores de Roundcube que apliquen los parches más recientes (versión 1.6.8 o 1.5.8) de inmediato. Los usuarios afectados deben cambiar sus contraseñas de correo electrónico y borrar los datos del sitio de su navegador para Roundcube.
-
Referencias