پژوهشگران امنیتی هشدار دادهاند که آسیبپذیری در Roundcube ممکن است به مهاجمان اجازه دهد بدون نیاز به احراز هویت، ایمیلها و لیست مخاطبان را به سرقت برده و از حساب قربانی برای ارسال ایمیل استفاده کنند.
نسخههای قبل از 1.6.8 و 1.5.8 نرمافزار Roundcube Webmail آسیبپذیر هستند و بهروزرسانی به نسخههای 1.6.8 و 1.5.8 راهکاری است که توصیه میشود.
سه آسیبپذیری امنیتی در Roundcube عبارتاند از:
CVE-2024-42008: آسیبپذیری XSS که از طریق یک پیوست ایمیل مخرب که دارای یک هدر Content-Type خطرناک است به وجود میآید و فقط یک کلیک توسط قربانی برای اجرای این آسیبپذیری لازم است.
CVE-2024-42009: آسیبپذیری XSS که ناشی از پردازش پس از پاکسازی محتوای HTML بوده و فقط مشاهده ایمیل توسط قربانی برای بهرهبرداری از این آسیبپذیری کافی است.
CVE-2024-42010: افشای اطلاعات که به دلیل فیلتر کردن ناکافی CSS به وجود میآید و برای بهرهبرداری از آن فقط مشاهده ایمیل کافی است.