アメリカ. サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー (CISA) 近々 追加した Roundcube 電子メール ソフトウェアの脆弱性と悪用された既知の脆弱性 (KEV). CVSS スコアが CVE-2023-43770 として識別されました。 6.1, これ クロスサイトスクリプティング (XSS) 脆弱性 野生環境で積極的に悪用されている.
CVE-2023-43770 の詳細
脆弱性, CISA および National Vulnerability Database によって説明されているとおり (NVD), Roundcube Webmail 内のプレーン テキスト メッセージにおける linkref の誤った処理を中心に展開します。. この抜け穴により、永続的なクロスサイト スクリプティングが発生する可能性があります。 (XSS) 攻撃, そのため、悪意のあるリンク参照による情報漏洩の危険性があります。.
影響を受ける Roundcube のバージョン
以前の Roundcube バージョン 1.4.14, 1.5.x前 1.5.4, および 1.6.x 以前 1.6.3 この脆弱性の影響を受けることが確認されている. でも, Roundcube のメンテナは、バージョンのリリースに伴う問題に即座に対処しました。 1.6.3 9月に 15, 2023. この脆弱性の発見と報告の功績は、Zscaler のセキュリティ研究者 Niraj Shivtarkar に与えられます。.
CVE-2023-43770 悪用の詳細は未公開のままですが, 過去の事件では、Web ベースの電子メール クライアントの脆弱性が攻撃者によって武器化されています。, のようなロシア関連のグループを含む APT28 そしてウィンター・ヴィバーン. このような悪用による潜在的な影響は、ユーザーと組織がセキュリティ対策を優先する緊急性を強調しています。.
この脅威に対抗して, 私たち. 連邦文民行政府 (FCEB) 政府機関はベンダーが提供する修正プログラムを 3 月までに実装するよう指示されています 4, 2024. この義務は、特定された脆弱性に起因する潜在的なサイバー脅威に対してネットワークを強化することを目的としています。.