Die US-. Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) vor kurzem hinzugefügt eine Schwachstelle in der Roundcube-E-Mail-Software mit ihren bekannten ausgenutzten Schwachstellen (KEV). Identifiziert als CVE-2023-43770 mit einem CVSS-Score von 6.1, Dies Cross-Site Scripting (XSS) Verwundbarkeit wurde in freier Wildbahn aktiv ausgebeutet.
CVE-2023-43770 im Detail
Die Sicherheitslücke, wie von CISA und der National Vulnerability Database beschrieben (NVD), dreht sich um die falsche Handhabung von Linkrefs in Klartextnachrichten in Roundcube Webmail. Diese Lücke führt möglicherweise zu anhaltendem Cross-Site-Scripting (XSS) Anschläge, Dadurch besteht die Gefahr der Offenlegung von Informationen durch böswillige Linkverweise.
Betroffene Roundcube-Versionen
Roundcube-Versionen vor 1.4.14, 1.5.x vor 1.5.4, und 1.6.x vorher 1.6.3 Es wurde bestätigt, dass sie für diese Schwachstelle anfällig sind. Jedoch, Die Roundcube-Betreuer haben das Problem mit der Veröffentlichung der Version umgehend behoben 1.6.3 Im September 15, 2023. Der Verdienst für die Entdeckung und Meldung dieser Schwachstelle gebührt dem Zscaler-Sicherheitsforscher Niraj Shivtarkar.
Die Einzelheiten der Ausnutzung von CVE-2023-43770 bleiben jedoch geheim, Bei früheren Vorfällen wurden Sicherheitslücken in webbasierten E-Mail-Clients von Bedrohungsakteuren ausgenutzt, einschließlich mit Russland verbundener Gruppen wie APT28 und Wintervivern. Die potenziellen Auswirkungen einer solchen Ausnutzung unterstreichen die Dringlichkeit für Benutzer und Organisationen, Sicherheitsmaßnahmen Priorität einzuräumen.
Als Reaktion auf diese Bedrohung, U.S.. Zivile Exekutive des Bundes (FCEB) Die Agenturen wurden angewiesen, die vom Anbieter bereitgestellten Korrekturen bis März umzusetzen 4, 2024. Ziel dieses Mandats ist es, Netzwerke gegen potenzielle Cyberbedrohungen zu stärken, die von der identifizierten Schwachstelle ausgehen.