Исследователи в области безопасности из компании SonarSource раскрыли уязвимости в программном обеспечении веб-почты Roundcube, которые могут быть использованы для выполнения вредоносного JavaScript-кода в браузере жертвы и кражи конфиденциальной информации из их аккаунта при определённых условиях.
Специалисты сообщили, что при просмотре жертвой вредоносного письма в Roundcube, отправленного атакующим, последний автоматически выполняет произвольный JavaScript в браузере жертвы. Это позволяет злоумышленникам красть письма, контакты и пароли электронной почты, а также отправлять письма от имени жертвы.
После ответственного раскрытия информации 18 июня 2024 года, уязвимости были устранены в версиях Roundcube 1.6.8 и 1.5.8, выпущенных 4 августа 2024 года.
Список уязвимостей включает:
CVE-2024-42008– уязвимость межсайтового скриптинга через вредоносное вложение с опасным заголовком Content-Type;
CVE-2024-42009– уязвимость межсайтового скриптинга, возникающая при постобработке очищенного HTML-контента;
CVE-2024-42010– уязвимость раскрытия информации из-за недостаточной фильтрации CSS.
Успешная эксплуатация этих уязвимостей позволяет неавторизованным атакующим красть письма и контакты, а также отправлять письма от имени жертвы после просмотра специально подготовленного письма в Roundcube.
Исследователь безопасности Оскар Зейно-Махмалат отметил, что атакующие могут получить устойчивый доступ к браузеру жертвы даже после перезапусков, что позволяет им непрерывно выводить письма или красть пароль жертвы при следующем его вводе.
Для успешной атаки через эксплуатацию уязвимости CVE-2024-42009 со стороны пользователя не требуется никаких действий, кроме просмотра письма от атакующего. В свою очередь, для уязвимости CVE-2024-42008 требуется один клик со стороны жертвы, но злоумышленник может сделать это взаимодействие незаметным.
Дополнительные технические детали пока что намеренно не были раскрыты, чтобы дать пользователям время обновиться до последней версии. Уязвимости веб-почты неоднократно использовались государственными хакерами, такими как APT28, Winter Vivern и TAG-70, поэтому тянуть с обновлением действительно не стоит.