CERTFR-2024-ALE-010_Multiples vulnérabilités dans Roundcube

Objet

Multiples vulnérabilités dans Roundcube

Référence

CERTFR-2024-ALE-010

Risques

• Injection de code indirecte à distance (XSS)
• Atteinte à la confidentialité des données

Systèmes affectés

• Roundcube Webmail versions 1.5.x antérieures à 1.5.8
• Roundcube Webmail versions 1.6.x antérieures à 1.6.8

Résumé

Le 4 août 2024, Roundcube a publié des correctifs concernant les vulnérabilités critiques CVE-2024-42008 et CVE-2024-42009 affectant son serveur de courriel.

Ces vulnérabilités permettent des injections de code indirectes à distance (XSS) qui peuvent, par exemple, conduire à la récupération du contenu des courriels de l'utilisateur. De plus, l’attaquant peut également être en mesure d’envoyer des courriels en se faisant passer pour la victime.

La vulnérabilité CVE-2024-42009 peut être exploitée par une simple ouverture du courriel piégé tandis que la vulnérabilité CVE-2024-42008 nécessite que l’utilisateur effectue une action supplémentaire.

Roundcube est un produit en source ouverte et les correctifs sont accessibles publiquement. Le CERT-FR anticipe donc la publication à court terme de codes d’exploitation publics. Des vulnérabilités de ce type ont été activement exploitées sur des serveurs Roundcube Webmail par le passé.

Solutions

Les versions correctives 1.6.8 et 1.5.8 LTS ont été publiées.

De plus, l'exploitation des vulnérabilités nécessite l'ouverture des courriels voire de cliquer sur des éléments qu'ils contiennent. Le CERT-FR recommande donc de limiter au maximum l'interaction avec des messages d'origine non vérifiée.

Documentation

• Bulletin de sécurité Roundcube du 04 août 2024
• Avis CERTFR-2024-AVI-0647 du 5 août 2024
• CVE-2024-42008
• CVE-2024-42009
• CVE-2024-42010

Dernière version du document

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2024-ALE-010/