de U.S.. Agentschap voor cyberbeveiliging en infrastructuurbeveiliging (CISA) onlangs toegevoegd een kwetsbaarheid in de Roundcube-e-mailsoftware voor de bekende uitgebuite kwetsbaarheden (KEV). Geïdentificeerd als CVE-2023-43770 met een CVSS-score van 6.1, deze cross-site scripting (XSS) kwetsbaarheid wordt actief geëxploiteerd in het wild.
CVE-2023-43770 in detail
De kwetsbaarheid, zoals beschreven door CISA en de National Vulnerability Database (NVD), draait om het verkeerd omgaan met linkrefs in platte tekstberichten binnen Roundcube Webmail. Deze maas in de wet leidt mogelijk tot aanhoudende cross-site scripting (XSS) aanvallen, waardoor het risico bestaat dat informatie openbaar wordt gemaakt via kwaadaardige linkverwijzingen.
Betrokken Roundcube-versies
Roundcube-versies vóór 1.4.14, 1.5.x vóór 1.5.4, en 1.6.x eerder 1.6.3 Er is bevestigd dat ze gevoelig zijn voor dit beveiligingslek. Echter, Roundcube-onderhouders hebben het probleem onmiddellijk aangepakt met de release van de versie 1.6.3 in september 15, 2023. De eer voor het ontdekken en melden van dit beveiligingslek gaat naar Zscaler-beveiligingsonderzoeker Niraj Shivtarkar.
Hoewel de details van de exploitatie van CVE-2023-43770 niet openbaar worden gemaakt, Bij eerdere incidenten zijn kwetsbaarheden in webgebaseerde e-mailclients bewapend door bedreigingsactoren, inclusief aan Rusland gelinkte groepen zoals APT28 en WinterVivern. De potentiële impact van dergelijke uitbuiting onderstreept de urgentie voor gebruikers en organisaties om prioriteit te geven aan beveiligingsmaatregelen.
Als reactie op deze dreiging, U.S. Federale civiele uitvoerende macht (FCEB) Agentschappen hebben de opdracht gekregen om tegen maart door de leverancier geleverde oplossingen te implementeren 4, 2024. Dit mandaat heeft tot doel netwerken te versterken tegen potentiële cyberdreigingen die voortkomen uit de geïdentificeerde kwetsbaarheid.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: