Accueil > Alertes du CERT-MC et du CERT-FR > CERTFR-2024-ALE-010_Multiples vulnérabilités dans Roundcube

CERTFR-2024-ALE-010_Multiples vulnérabilités dans Roundcube

Objet

Multiples vulnérabilités dans Roundcube

Référence

CERTFR-2024-ALE-010

Risques

  • Injection de code indirecte à distance (XSS)
  • Atteinte à la confidentialité des données

Systèmes affectés

  • Roundcube Webmail versions 1.5.x antérieures à 1.5.8
  • Roundcube Webmail versions 1.6.x antérieures à 1.6.8

Résumé

Le 4 août 2024, Roundcube a publié des correctifs concernant les vulnérabilités critiques CVE-2024-42008 et CVE-2024-42009 affectant son serveur de courriel.

Ces vulnérabilités permettent des injections de code indirectes à distance (XSS) qui peuvent, par exemple, conduire à la récupération du contenu des courriels de l'utilisateur. De plus, l’attaquant peut également être en mesure d’envoyer des courriels en se faisant passer pour la victime.

La vulnérabilité CVE-2024-42009 peut être exploitée par une simple ouverture du courriel piégé tandis que la vulnérabilité CVE-2024-42008 nécessite que l’utilisateur effectue une action supplémentaire.

Roundcube est un produit en source ouverte et les correctifs sont accessibles publiquement. Le CERT-FR anticipe donc la publication à court terme de codes d’exploitation publics. Des vulnérabilités de ce type ont été activement exploitées sur des serveurs Roundcube Webmail par le passé.

Documentation

Dernière version du document

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2024-ALE-010/

CERTFR-2024-ALE-011_Vulnérabilité dans SonicWall

10 septembre 2024
actualite

ObjetVulnérabilité dans SonicWallRéférenceCERTFR-2024-ALE-011Risques Déni de service à distance Contournement de la politique de sécurité Attei... Lire la suite[+]

CERTFR-2024-ALE-009_Vulnérabilité dans OpenSSH

01 juillet 2024
actualite

Objet :Vulnérabilité dans OpenSSHRéférence(s)CERTFR-2024-ALE-009Risque(s) Exécution de code arbitraire à distance Système(s) affecté(s) OpenS... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93


Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Sécurité Nationale
Conseils élémentaires
//amsn.gouv.mc/Alertes-du-CERT-MC-et-du-CERT-FR/CERTFR-2024-ALE-010_Multiples-vulnerabilites-dans-Roundcube