L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié lundi ajoutée une faille de sécurité de gravité moyenne impactant le logiciel de messagerie Roundcube sur ses vulnérabilités exploitées connues (KEV), fondé sur des preuves d’exploitation active.
Le problème, suivi comme CVE-2023-43770 (score CVSS : 6,1), concerne une faille de cross-site scripting (XSS) qui découle de la gestion des références de liens dans les messages en texte brut.
« Roundcube Webmail contient une vulnérabilité persistante de cross-site scripting (XSS) qui peut conduire à la divulgation d’informations via des références de liens malveillants dans des messages bruts/texte », a déclaré CISA.
Selon une description du bug dans la National Vulnerability Database (NVD) du NIST, la vulnérabilité affecte les versions de Roundcube antérieures à 1.4.14, 1.5.x avant 1.5.4 et 1.6.x avant 1.6.3.
Le défaut était adressé par les responsables de Roundcube avec version 1.6.3qui a été publié le 15 septembre 2023. Niraj Shivtarkar, chercheur en sécurité chez Zscaler, a été reconnu pour avoir découvert et signalé la vulnérabilité.
On ne sait pas actuellement comment cette vulnérabilité est exploitée dans la nature, mais des failles dans le client de messagerie Web ont été exploitées par des acteurs malveillants liés à la Russie comme APT28 et Winter Vivern l’année dernière.
Les agences du Federal Civilian Executive Branch (FCEB) des États-Unis ont été mandatées pour appliquer les correctifs fournis par les fournisseurs d’ici le 4 mars 2024, afin de sécuriser leurs réseaux contre les menaces potentielles.