Os EUA. Agência de Segurança Cibernética e Infraestrutura (CISA) recentemente adicionado uma vulnerabilidade no software de e-mail Roundcube às suas vulnerabilidades exploradas conhecidas (KEV). Identificado como CVE-2023-43770 com uma pontuação CVSS de 6.1, esta cross-site scripting (XSS) vulnerabilidade foi ativamente explorado na natureza.
CVE-2023-43770 em detalhes
a vulnerabilidade, conforme descrito pela CISA e pelo National Vulnerability Database (NVD), gira em torno do manuseio incorreto de linkrefs em mensagens de texto simples no Roundcube Webmail. Essa lacuna potencialmente leva a scripts persistentes entre sites (XSS) ataques, arriscando assim a divulgação de informações através de referências de links maliciosos.
Versões Roundcube afetadas
Versões Roundcube anteriores a 1.4.14, 1.5.x antes 1.5.4, e 1.6.x antes 1.6.3 são confirmados como suscetíveis a esta vulnerabilidade. Contudo, Os mantenedores do Roundcube resolveram prontamente o problema com o lançamento da versão 1.6.3 Em setembro 15, 2023. O crédito por descobrir e relatar esta vulnerabilidade vai para o pesquisador de segurança da Zscaler, Niraj Shivtarkar..
Embora as especificidades da exploração CVE-2023-43770 permaneçam não divulgadas, incidentes anteriores viram vulnerabilidades de clientes de e-mail baseados na web transformadas em armas por agentes de ameaças, incluindo grupos ligados à Rússia como APT28 e Inverno Vivern. O impacto potencial de tal exploração sublinha a urgência de os utilizadores e organizações priorizarem medidas de segurança.
Em resposta a esta ameaça, NOS. Poder Executivo Civil Federal (FCEB) as agências foram orientadas a implementar correções fornecidas pelo fornecedor até março 4, 2024. Este mandato visa fortalecer as redes contra potenciais ameaças cibernéticas decorrentes da vulnerabilidade identificada.