CERTFR-2024-ALE-010_Multiples vulnérabilités dans Roundcube
Publié le 9 août 2024 à 19h08 - Mis à jour le 21 janvier 2025 à 10h46
Objet
Multiples vulnérabilités dans Roundcube
Référence
CERTFR-2024-ALE-010
Risques
- Injection de code indirecte à distance (XSS)
- Atteinte à la confidentialité des données
Systèmes affectés
- Roundcube Webmail versions 1.5.x antérieures à 1.5.8
- Roundcube Webmail versions 1.6.x antérieures à 1.6.8
Résumé
Le 4 août 2024, Roundcube a publié des correctifs concernant les vulnérabilités critiques CVE-2024-42008 et CVE-2024-42009 affectant son serveur de courriel.
Ces vulnérabilités permettent des injections de code indirectes à distance (XSS) qui peuvent, par exemple, conduire à la récupération du contenu des courriels de l'utilisateur. De plus, l’attaquant peut également être en mesure d’envoyer des courriels en se faisant passer pour la victime.
La vulnérabilité CVE-2024-42009 peut être exploitée par une simple ouverture du courriel piégé tandis que la vulnérabilité CVE-2024-42008 nécessite que l’utilisateur effectue une action supplémentaire.
Roundcube est un produit en source ouverte et les correctifs sont accessibles publiquement. Le CERT-FR anticipe donc la publication à court terme de codes d’exploitation publics. Des vulnérabilités de ce type ont été activement exploitées sur des serveurs Roundcube Webmail par le passé.
Documentation
- Bulletin de sécurité Roundcube du 04 août 2024
- Avis CERTFR-2024-AVI-0647 du 5 août 2024
- CVE-2024-42008
- CVE-2024-42009
- CVE-2024-42010