Accueil > Nouvelles Cyber > CVE-2023-43770 in Roundcube Email Software Exploited in the Wild
CYBER NOUVELLES

CVE-2023-43770 dans le logiciel de messagerie Roundcube exploité à l'état sauvage

Les Etats Unis. Agence de la cybersécurité et de la sécurité des infrastructures (CISA) récemment ajoutée une vulnérabilité du logiciel de messagerie Roundcube à ses vulnérabilités exploitées connues (KEV). Identifié comme CVE-2023-43770 avec un score CVSS de 6.1, ce cross-site scripting (XSS) vulnérabilité a été activement exploité dans la nature.

CVE-2023-43770 dans le logiciel de messagerie Roundcube exploité à l'état sauvage

CVE-2023-43770 en détail

La vulnérabilité, comme décrit par CISA et la base de données nationale sur les vulnérabilités (NVD), tourne autour de la mauvaise gestion des références de liens dans les messages en texte brut dans Roundcube Webmail. Cette faille conduit potentiellement à des scripts intersites persistants (XSS) attaques, risquant ainsi la divulgation d'informations via des références de liens malveillantes.




Versions Roundcube concernées

Versions Roundcube antérieures à 1.4.14, 1.5.x avant 1.5.4, et 1.6.x avant 1.6.3 sont confirmés comme sensibles à cette vulnérabilité. Cependant, Les responsables de Roundcube ont rapidement résolu le problème avec la sortie de la version 1.6.3 en septembre 15, 2023. Le mérite de la découverte et du signalement de cette vulnérabilité revient au chercheur en sécurité de Zscaler, Niraj Shivtarkar..

Bien que les détails de l'exploitation du CVE-2023-43770 restent confidentiels, des incidents passés ont vu des vulnérabilités de clients de messagerie Web exploitées par des acteurs malveillants, y compris des groupes liés à la Russie comme APT28 et Winter Vivern. L’impact potentiel d’une telle exploitation souligne l’urgence pour les utilisateurs et les organisations de donner la priorité aux mesures de sécurité..

En réponse à cette menace, Americains. Pouvoir exécutif civil fédéral (FCEB) les agences ont été invitées à mettre en œuvre les correctifs fournis par le fournisseur d'ici mars 4, 2024. Ce mandat vise à fortifier les réseaux contre les cybermenaces potentielles découlant de la vulnérabilité identifiée..

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord