La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el lunes agregado una falla de seguridad de gravedad media que afecta al software de correo electrónico Roundcube hasta sus vulnerabilidades explotadas conocidas (KEV) catálogo, basado en evidencia de explotación activa.
El problema, rastreado como CVE-2023-43770 (Puntuación CVSS: 6,1), se relaciona con una falla de secuencias de comandos entre sitios (XSS) que surge del manejo de enlaces en mensajes de texto sin formato.
«Roundcube Webmail contiene una vulnerabilidad persistente de secuencias de comandos entre sitios (XSS) que puede conducir a la divulgación de información a través de referencias de enlaces maliciosos en mensajes de texto sin formato», dijo CISA.
Según una descripción del error en la Base de datos nacional de vulnerabilidades (NVD) del NIST, la vulnerabilidad afecta a las versiones de Roundcube anteriores a 1.4.14, 1.5.x anteriores a 1.5.4 y 1.6.x anteriores a 1.6.3.
El defecto fue dirigido por mantenedores de Roundcube con versión 1.6.3que se publicó el 15 de septiembre de 2023. Al investigador de seguridad de Zscaler, Niraj Shivtarkar, se le atribuye el descubrimiento y el informe de la vulnerabilidad.
Actualmente no se sabe cómo se está explotando la vulnerabilidad en la naturaleza, pero las fallas en el cliente de correo electrónico basado en la web han sido utilizadas como arma por actores de amenazas vinculados a Rusia como APT28 y Winter Vivern el año pasado.
Las agencias del Poder Ejecutivo Civil Federal (FCEB) de EE. UU. recibieron el mandato de aplicar correcciones proporcionadas por los proveedores antes del 4 de marzo de 2024 para proteger sus redes contra posibles amenazas.