CVE-2023-43770 in Roundcube e-mailsoftware die in het wild wordt uitgebuit

de U.S.. Agentschap voor cyberbeveiliging en infrastructuurbeveiliging (CISA) onlangs toegevoegd een kwetsbaarheid in de Roundcube-e-mailsoftware voor de bekende uitgebuite kwetsbaarheden (KEV). Geïdentificeerd als CVE-2023-43770 met een CVSS-score van 6.1, deze cross-site scripting (XSS) kwetsbaarheid wordt actief geëxploiteerd in het wild.

CVE-2023-43770 in detail

De kwetsbaarheid, zoals beschreven door CISA en de National Vulnerability Database (NVD), draait om het verkeerd omgaan met linkrefs in platte tekstberichten binnen Roundcube Webmail. Deze maas in de wet leidt mogelijk tot aanhoudende cross-site scripting (XSS) aanvallen, waardoor het risico bestaat dat informatie openbaar wordt gemaakt via kwaadaardige linkverwijzingen.

Betrokken Roundcube-versies

Roundcube-versies vóór 1.4.14, 1.5.x vóór 1.5.4, en 1.6.x eerder 1.6.3 Er is bevestigd dat ze gevoelig zijn voor dit beveiligingslek. Echter, Roundcube-onderhouders hebben het probleem onmiddellijk aangepakt met de release van de versie 1.6.3 in september 15, 2023. De eer voor het ontdekken en melden van dit beveiligingslek gaat naar Zscaler-beveiligingsonderzoeker Niraj Shivtarkar.

Hoewel de details van de exploitatie van CVE-2023-43770 niet openbaar worden gemaakt, Bij eerdere incidenten zijn kwetsbaarheden in webgebaseerde e-mailclients bewapend door bedreigingsactoren, inclusief aan Rusland gelinkte groepen zoals APT28 en WinterVivern. De potentiële impact van dergelijke uitbuiting onderstreept de urgentie voor gebruikers en organisaties om prioriteit te geven aan beveiligingsmaatregelen.

Als reactie op deze dreiging, U.S. Federale civiele uitvoerende macht (FCEB) Agentschappen hebben de opdracht gekregen om tegen maart door de leverancier geleverde oplossingen te implementeren 4, 2024. Dit mandaat heeft tot doel netwerken te versterken tegen potentiële cyberdreigingen die voortkomen uit de geïdentificeerde kwetsbaarheid.