ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Pazartesi günü katma Roundcube e-posta yazılımını Bilinen İstismara Uğrayan Güvenlik Açıklarına kadar etkileyen orta düzeyde bir güvenlik açığı (KEV) aktif istismarın kanıtlarına dayanan katalog.
Sorun şu şekilde izlendi: CVE-2023-43770 (CVSS puanı: 6.1), düz metin mesajlarındaki bağlantı referanslarının işlenmesinden kaynaklanan siteler arası komut dosyası çalıştırma (XSS) hatasıyla ilgilidir.
CISA, “Roundcube Webmail, düz/metin mesajlarındaki kötü amaçlı bağlantı referansları yoluyla bilgilerin açığa çıkmasına yol açabilecek kalıcı bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı içeriyor” dedi.
NIST’in Ulusal Güvenlik Açığı Veritabanındaki (NVD) hatanın açıklamasına göre, güvenlik açığı Roundcube’un 1.4.14’ten önceki, 1.5.4’ten önceki 1.5.x ve 1.6.3’ten önceki 1.6.x sürümlerini etkiliyor.
Kusur şuydu: ele alinan Roundcube bakımcıları tarafından sürüm 1.6.315 Eylül 2023’te yayınlandı. Zscaler güvenlik araştırmacısı Niraj Shivtarkar, güvenlik açığını keşfetme ve bildirme konusunda itibar kazandı.
Şu anda bu güvenlik açığından nasıl yararlanıldığı bilinmiyor, ancak web tabanlı e-posta istemcisindeki kusurlar, geçen yıl APT28 ve Winter Vivern gibi Rusya bağlantılı tehdit aktörleri tarafından silah haline getirildi.
ABD Federal Sivil Yürütme Organı (FCEB) kurumlarına, ağlarını potansiyel tehditlere karşı güvence altına almak için 4 Mart 2024’e kadar satıcı tarafından sağlanan düzeltmeleri uygulama yetkisi verildi.