Falhas no Webmail do Roundcube permitem aos hackers roubar e-mails e palavras-passe
Investigadores de cibersegurança divulgaram detalhes de falhas de segurança no software de webmail Roundcube que podem ser exploradas para executar JavaScript malicioso no navegador da vítima e roubar informações confidenciais da sua conta em circunstâncias específicas.
“Quando uma vítima visualiza um e-mail malicioso no Roundcube enviado por um atacante, o atacante pode executar JavaScript arbitrário no navegador da vítima”, disse a empresa de cibersegurança Sonar numa análise publicada esta semana.
Os atacantes podem abusar da vulnerabilidade para roubar e-mails, contactos e a palavra-passe do e-mail da vítima, bem como para enviar e-mails a partir da conta da vítima.
Após a divulgação responsável a 18 de junho de 2024, as três vulnerabilidades foram corrigidas nas versões 1.6.8 e 1.5.8 do Roundcube lançadas a 4 de agosto de 2024.
A lista de vulnerabilidades é a seguinte:
- CVE-2024-42008 – Uma falha de script entre sites através de um anexo de e-mail malicioso servido com um cabeçalho Content-Type perigoso
- CVE-2024-42009 – Uma falha de script entre sites que surge do pós-processamento de conteúdo HTML higienizado
- CVE-2024-42010 – Uma falha de divulgação de informação que decorre de uma filtragem CSS insuficiente
A exploração bem-sucedida das falhas mencionadas poderia permitir que atacantes não autenticados roubassem e-mails e contactos, bem como enviassem e-mails a partir da conta da vítima, mas depois de visualizar um e-mail especialmente criado no Roundcube.
Os atacantes podem ganhar uma posição persistente no navegador da vítima durante as reinicializações, permitindo-lhes exfiltrar e-mails continuamente ou roubar a palavra-passe da vítima na próxima vez que esta for digitada.
Para um ataque bem-sucedido, não é necessária qualquer interação do utilizador para além da visualização do e-mail do atacante para explorar a vulnerabilidade crítica do XSS (CVE-2024-42009). clique da vítima para que a exploração funcione. , mas o atacante pode tornar esta interação pouco óbvia para o utilizador.