Multiples vulnérabilités dans Roundcube – CERT-FR

Résumé

Le 4 août 2024, Roundcube a publié des correctifs concernant les vulnérabilités critiques CVE-2024-42008 et CVE-2024-42009 affectant son serveur de courriel.

Ces vulnérabilités permettent des injections de code indirectes à distance (XSS) qui peuvent, par exemple, conduire à la récupération du contenu des courriels de l’utilisateur. De plus, l’attaquant peut également être en mesure d’envoyer des courriels en se faisant passer pour la victime.

La vulnérabilité CVE-2024-42009 peut être exploitée par une simple ouverture du courriel piégé tandis que la vulnérabilité CVE-2024-42008 nécessite que l’utilisateur effectue une action supplémentaire.

Roundcube est un produit en source ouverte et les correctifs sont accessibles publiquement. Le CERT-FR anticipe donc la publication à court terme de codes d’exploitation publics.
Des vulnérabilités de ce type ont été activement exploitées sur des serveurs Roundcube Webmail par le passé.

Solutions

Les versions correctives 1.6.8 et 1.5.8 LTS ont été publiées.

De plus, l’exploitation des vulnérabilités nécessite l’ouverture des courriels voire de cliquer sur des éléments qu’ils contiennent. Le CERT-FR recommande donc de limiter au maximum l’interaction avec des messages d’origine non vérifiée.