CERTFR-2024-ALE-010_Multiples vulnérabilités dans Roundcube

Objet

Multiples vulnérabilités dans Roundcube

Référence

CERTFR-2024-ALE-010

Risques

• Injection de code indirecte à distance (XSS)
• Atteinte à la confidentialité des données

Systèmes affectés

• Roundcube Webmail versions 1.5.x antérieures à 1.5.8
• Roundcube Webmail versions 1.6.x antérieures à 1.6.8

Résumé

Le 4 août 2024, Roundcube a publié des correctifs concernant les vulnérabilités critiques CVE-2024-42008 et CVE-2024-42009 affectant son serveur de courriel.

Ces vulnérabilités permettent des injections de code indirectes à distance (XSS) qui peuvent, par exemple, conduire à la récupération du contenu des courriels de l'utilisateur. De plus, l’attaquant peut également être en mesure d’envoyer des courriels en se faisant passer pour la victime.

La vulnérabilité CVE-2024-42009 peut être exploitée par une simple ouverture du courriel piégé tandis que la vulnérabilité CVE-2024-42008 nécessite que l’utilisateur effectue une action supplémentaire.

Roundcube est un produit en source ouverte et les correctifs sont accessibles publiquement. Le CERT-FR anticipe donc la publication à court terme de codes d’exploitation publics. Des vulnérabilités de ce type ont été activement exploitées sur des serveurs Roundcube Webmail par le passé.

Documentation

• Bulletin de sécurité Roundcube du 04 août 2024
• Avis CERTFR-2024-AVI-0647 du 5 août 2024
• CVE-2024-42008
• CVE-2024-42009
• CVE-2024-42010

Dernière version du document

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2024-ALE-010/