ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Pazartesi günü, aktif istismar kanıtlarına dayanarak, Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna Roundcube e-posta yazılımını etkileyen orta şiddette bir güvenlik açığı ekledi.
Sorun şu şekilde izlendi: CVE-2023-43770 (CVSS puanı: 6.1), düz metin mesajlarındaki bağlantı referanslarının işlenmesinden kaynaklanan siteler arası komut dosyası çalıştırma (XSS) hatasıyla ilgilidir.
CISA, “Roundcube Webmail, düz/metin mesajlarındaki kötü amaçlı bağlantı referansları yoluyla bilgilerin açığa çıkmasına yol açabilecek kalıcı bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı içeriyor” dedi.
NIST’in Ulusal Güvenlik Açığı Veritabanındaki (NVD) hatanın açıklamasına göre, güvenlik açığı Roundcube’un 1.4.14’ten önceki, 1.5.4’ten önceki 1.5.x ve 1.6.3’ten önceki 1.6.x sürümlerini etkiliyor.
Kusur, Roundcube geliştiricileri tarafından 15 Eylül 2023’te yayımlanan 1.6.3 sürümüyle giderildi. Zscaler güvenlik araştırmacısı Niraj Shivtarkar’ın güvenlik açığını keşfetmesi ve raporlamasıyla itibar kazandı.
Şu anda bu güvenlik açığından nasıl yararlanıldığı bilinmiyor ancak web tabanlı e-posta istemcisindeki kusurlar, geçen yıl APT28 ve Winter Vivern gibi Rusya bağlantılı tehdit aktörleri tarafından silah haline getirildi.
ABD Federal Sivil Yürütme Organı (FCEB) kurumlarına, ağlarını potansiyel tehditlere karşı güvence altına almak için 4 Mart 2024’e kadar satıcı tarafından sağlanan düzeltmeleri uygulama yetkisi verildi.