Accueil > Nouvelles Cyber > CVE-2023-43770 in Roundcube Email Software Exploited in the Wild
CYBER NOUVELLES

CVE-2023-43770 dans le logiciel de messagerie Roundcube exploité à l'état sauvage

par   |  Dernière mise à jour:  |  0 Commentaires  

Les Etats Unis. Agence de la cybersécurité et de la sécurité des infrastructures (CISA) récemment ajoutée une vulnérabilité du logiciel de messagerie Roundcube à ses vulnérabilités exploitées connues (KEV). Identifié comme CVE-2023-43770 avec un score CVSS de 6.1, ce cross-site scripting (XSS) vulnérabilité a été activement exploité dans la nature.

CVE-2023-43770 dans le logiciel de messagerie Roundcube exploité à l'état sauvage

CVE-2023-43770 en détail

La vulnérabilité, comme décrit par CISA et la base de données nationale sur les vulnérabilités (NVD), tourne autour de la mauvaise gestion des références de liens dans les messages en texte brut dans Roundcube Webmail. Cette faille conduit potentiellement à des scripts intersites persistants (XSS) attaques, risquant ainsi la divulgation d'informations via des références de liens malveillantes.




Versions Roundcube concernées

Versions Roundcube antérieures à 1.4.14, 1.5.x avant 1.5.4, et 1.6.x avant 1.6.3 sont confirmés comme sensibles à cette vulnérabilité. Cependant, Les responsables de Roundcube ont rapidement résolu le problème avec la sortie de la version 1.6.3 en septembre 15, 2023. Le mérite de la découverte et du signalement de cette vulnérabilité revient au chercheur en sécurité de Zscaler, Niraj Shivtarkar..

Bien que les détails de l'exploitation du CVE-2023-43770 restent confidentiels, des incidents passés ont vu des vulnérabilités de clients de messagerie Web exploitées par des acteurs malveillants, y compris des groupes liés à la Russie comme APT28 et Winter Vivern. L’impact potentiel d’une telle exploitation souligne l’urgence pour les utilisateurs et les organisations de donner la priorité aux mesures de sécurité..

En réponse à cette menace, Americains. Pouvoir exécutif civil fédéral (FCEB) les agences ont été invitées à mettre en œuvre les correctifs fournis par le fournisseur d'ici mars 4, 2024. Ce mandat vise à fortifier les réseaux contre les cybermenaces potentielles découlant de la vulnérabilité identifiée..

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Articles Similaires:
  1. CVE-2023-5631 dans le logiciel de messagerie Web Roundcube exploité Les chercheurs en sécurité ont découvert que le groupe d'acteurs menaçants Winter Vivern,...
  2. Correctifs Adobe 112 Vulnérabilités dans le dernier paquet Patch (CVE-2018-5007) Adobe a publié le dernier package de correctifs qui résout un...
  3. Les vulnérabilités les plus exploitées dans 2021 Inclure CVE-2021-44228, CVE-2021-26084 Quelles étaient les vulnérabilités de sécurité les plus couramment exploitées dans 2021?...
  4. Cinq vulnérabilités dangereuses exploitées à l'état sauvage (CVE-2023-26083) L'Agence de cybersécurité et de sécurité des infrastructures, connu sous le nom de CISA,...
  5. 6 Tactics Cybersécurité pour se protéger contre les attaques XSS Cross-site scripting (XSS) est rien à prendre à la légère. As simultaneously...
  6. CVE-2023-42916: Apple Zero-Days exploité dans la nature Apple has released emergency security updates to address two zero-day...
  7. CISA met en garde contre CVE-2023-1133, Autres failles graves dans les logiciels industriels Mardi, les Etats Unis. Agence de la cybersécurité et de la sécurité des infrastructures (CISA)...
  8. CVE-2023-37580: un Zero-Day critique dans le logiciel de messagerie collaborative Zimbra In a recent revelation by the Google Threat Analysis Group...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord