Risques
- Atteinte à la confidentialité des données
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- Roundcube Webmail versions 1.5.x antérieures à 1.5.8
- Roundcube Webmail versions 1.6.x antérieures à 1.6.8
Résumé
Le 4 août 2024, Roundcube a publié des correctifs concernant les vulnérabilités critiques CVE-2024-42008 et CVE-2024-42009 affectant son serveur de courriel.
Ces vulnérabilités permettent des injections de code indirectes à distance (XSS) qui peuvent, par exemple, conduire à la récupération du contenu des courriels de l'utilisateur. De plus, l’attaquant peut également être en mesure d’envoyer des courriels en se faisant passer pour la victime.
La vulnérabilité CVE-2024-42009 peut être exploitée par une simple ouverture du courriel piégé tandis que la vulnérabilité CVE-2024-42008 nécessite que l’utilisateur effectue une action supplémentaire.
Roundcube est un produit en source ouverte et les correctifs sont accessibles publiquement. Le CERT-FR anticipe donc la publication à court terme de codes d’exploitation publics. Des vulnérabilités de ce type ont été activement exploitées sur des serveurs Roundcube Webmail par le passé.
Solutions
Les versions correctives 1.6.8 et 1.5.8 LTS ont été publiées.
De plus, l'exploitation des vulnérabilités nécessite l'ouverture des courriels voire de cliquer sur des éléments qu'ils contiennent. Le CERT-FR recommande donc de limiter au maximum l'interaction avec des messages d'origine non vérifiée.
Documentation
- Bulletin de sécurité Roundcube du 04 août 2024 https://roundcube.net/news/2024/08/04/security-updates-1.6.8-and-1.5.8
- Avis CERTFR-2024-AVI-0647 du 5 août 2024 https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0647/
- Référence CVE CVE-2024-42008 https://www.cve.org/CVERecord?id=CVE-2024-42008
- Référence CVE CVE-2024-42009 https://www.cve.org/CVERecord?id=CVE-2024-42009
- Référence CVE CVE-2024-42010 https://www.cve.org/CVERecord?id=CVE-2024-42010