Roundcube Webmail, 1.6 ve 1.5 LTS sürümlerini etkileyen iki önemli güvenlik açığını gideren kritik güvenlik güncellemeleri yayınladı.
Bu kusurlar, saldırganların kötü amaçlı komut dosyaları çalıştırmasına ve birden fazla saldırı vektörü aracılığıyla hassas bilgilere yetkisiz erişim elde etmesine olanak tanıyor.
İlk güvenlik açığı, Roundcube’un SVG işleme mekanizmasındaki Siteler Arası Komut Dosyası Çalıştırma (XSS) hatasıdır. Saldırganlar, web posta arayüzüne rastgele JavaScript kodu enjekte etmek ve yürütmek için SVG animasyon etiketinden yararlanabilir.
CrowdStrike’dan güvenlik araştırmacısı Valentin T. tarafından bildirilen bu güvenlik açığı, web postası kullanıcıları için önemli bir risk teşkil ediyor.
Başarılı bir şekilde istismar edilmesi, saldırganların oturum belirteçlerini, kimlik bilgilerini ve hassas e-posta verilerini çalmasına olanak tanıyabilir.
| CVE Kimliği | Güvenlik Açığı Türü | Etkilenen Sürümler | Şiddet | Tanım |
|---|---|---|---|---|
| CVE-2024-XXXXX | Siteler Arası Komut Dosyası Çalıştırma (XSS) | 1.6.x, 1.5.x LTS | Yüksek | Filtreleri atlayarak HTML tarzı temizleyicide Bilgi Açıklama |
| CVE-2024-XXXXX | Bilgi Açıklaması | 1.6.x, 1.5.x LTS | Orta-Yüksek | Filtreleri atlayarak HTML stili temizleyicide Bilgi Açıklama |
İkinci güvenlik açığı, Roundcube’un HTML stili temizleyicisindeki Bilgi İfşası kusurunu içeriyor. Güvenlik araştırmacısı Somerandomdev tarafından bildirilen bu güvenlik açığı, saldırganların temizleme filtrelerini atlamasına izin verebilir.
Ve özel hazırlanmış HTML içeriği aracılığıyla gizli bilgilere erişin. Temizleme mantığındaki güvenlik açığı, kullanıcı gizliliğini tehlikeye atabilecek bilgi sızıntısına yönelik bir yol oluşturur.
Roundcube, her iki güvenlik açığını da gideren yamalı sürümler yayınladı; 1.6 sürümünü çalıştıran tüm üretken kurulumlar için acil güncellemeleri şiddetle tavsiye ediyor. x ve 1,5. X.
Sistem yöneticileri, istismar risklerini ortadan kaldırmak için 1.6.12 ve 1.5.12 sürümlerini dağıtmaya öncelik vermelidir. Güncellenmiş sürümler GitHub’un resmi Roundcube deposunda mevcuttur.
Bu güvenlik açıklarından aktif olarak yararlanılabileceğinden, kullanıcıların mevcut Roundcube sürümlerini doğrulamaları ve güncellemeleri gecikmeden uygulamaları gerekir.
E-posta hizmetleri için Roundcube’a güvenen kuruluşların bu güncellemeyi kritik altyapı bakımı olarak ele alması gerekir.
Güvenlik düzeltmeleri kapsamlıdır ve hem istemci tarafı komut dosyası ekleme vektörünü hem de sunucu tarafı bilgi ifşa riskini ele alır.
Her iki güncellenmiş sürümün resmi sürüm notlarında değişiklik günlüğü ayrıntılarının tamamı mevcuttur.
Yapay Zeka Destekli ISO 27001, SOC 2, NIST, NIS 2 ve GDPR Uyumluluk Kontrol Listesi => Ücretsiz Başlayın
