Агентство кибербезопасности и инфраструктуры безопасности США (CISA) в понедельник добавило уязвимость средней степени тяжести, влияющую на почтовое программное обеспечение Roundcube, в свой каталог известных эксплуатируемых уязвимостей (KEV), основываясь на доказательствах активного использования.
Проблема, отслеживаемая как CVE-2023-43770 (оценка CVSS: 6.1), связана с ошибкой межсайтового скриптинга (XSS), которая связана с обработкой ссылок linkrefs в обычных текстовых сообщениях.
"Веб-почта Roundcube содержит постоянную уязвимость межсайтового скриптинга (XSS), которая может привести к раскрытию информации через вредоносные ссылки в обычных / текстовых сообщениях", - сказали в CISA.
Согласно описанию ошибки в Национальной базе данных уязвимостей NIST (NVD), уязвимость затрагивает Roundcube версий до 1.4.14, 1.5.x до 1.5.4 и 1.6.x до 1.6.3.
Ошибка была устранена разработчиками Roundcube в версии 1.6.3, которая была выпущена 15 сентября 2023 года. Исследователю безопасности Zscaler Нираджу Шивтаркару приписывают обнаружение уязвимости и сообщение о ней.
В настоящее время неизвестно, как уязвимость используется в естественных условиях, но недостатки в веб-почтовом клиенте были использованы связанными с Россией злоумышленниками, такими как APT28 и Winter Vivern в прошлом году.
Агентствам Федеральной гражданской исполнительной власти США (FCEB) было поручено применить исправления, предоставленные поставщиками, до 4 марта 2024 года для защиты своих сетей от потенциальных угроз.
Проблема, отслеживаемая как CVE-2023-43770 (оценка CVSS: 6.1), связана с ошибкой межсайтового скриптинга (XSS), которая связана с обработкой ссылок linkrefs в обычных текстовых сообщениях.
"Веб-почта Roundcube содержит постоянную уязвимость межсайтового скриптинга (XSS), которая может привести к раскрытию информации через вредоносные ссылки в обычных / текстовых сообщениях", - сказали в CISA.
Согласно описанию ошибки в Национальной базе данных уязвимостей NIST (NVD), уязвимость затрагивает Roundcube версий до 1.4.14, 1.5.x до 1.5.4 и 1.6.x до 1.6.3.
Ошибка была устранена разработчиками Roundcube в версии 1.6.3, которая была выпущена 15 сентября 2023 года. Исследователю безопасности Zscaler Нираджу Шивтаркару приписывают обнаружение уязвимости и сообщение о ней.
В настоящее время неизвестно, как уязвимость используется в естественных условиях, но недостатки в веб-почтовом клиенте были использованы связанными с Россией злоумышленниками, такими как APT28 и Winter Vivern в прошлом году.
Агентствам Федеральной гражданской исполнительной власти США (FCEB) было поручено применить исправления, предоставленные поставщиками, до 4 марта 2024 года для защиты своих сетей от потенциальных угроз.
