Les Etats Unis. Agence de la cybersécurité et de la sécurité des infrastructures (CISA) récemment ajoutée une vulnérabilité du logiciel de messagerie Roundcube à ses vulnérabilités exploitées connues (KEV). Identifié comme CVE-2023-43770 avec un score CVSS de 6.1, ce cross-site scripting (XSS) vulnérabilité a été activement exploité dans la nature.
CVE-2023-43770 en détail
La vulnérabilité, comme décrit par CISA et la base de données nationale sur les vulnérabilités (NVD), tourne autour de la mauvaise gestion des références de liens dans les messages en texte brut dans Roundcube Webmail. Cette faille conduit potentiellement à des scripts intersites persistants (XSS) attaques, risquant ainsi la divulgation d'informations via des références de liens malveillantes.
Versions Roundcube concernées
Versions Roundcube antérieures à 1.4.14, 1.5.x avant 1.5.4, et 1.6.x avant 1.6.3 sont confirmés comme sensibles à cette vulnérabilité. Cependant, Les responsables de Roundcube ont rapidement résolu le problème avec la sortie de la version 1.6.3 en septembre 15, 2023. Le mérite de la découverte et du signalement de cette vulnérabilité revient au chercheur en sécurité de Zscaler, Niraj Shivtarkar..
Bien que les détails de l'exploitation du CVE-2023-43770 restent confidentiels, des incidents passés ont vu des vulnérabilités de clients de messagerie Web exploitées par des acteurs malveillants, y compris des groupes liés à la Russie comme APT28 et Winter Vivern. L’impact potentiel d’une telle exploitation souligne l’urgence pour les utilisateurs et les organisations de donner la priorité aux mesures de sécurité..
En réponse à cette menace, Americains. Pouvoir exécutif civil fédéral (FCEB) les agences ont été invitées à mettre en œuvre les correctifs fournis par le fournisseur d'ici mars 4, 2024. Ce mandat vise à fortifier les réseaux contre les cybermenaces potentielles découlant de la vulnérabilité identifiée..