Une faille de sécurité de haute gravité non corrigée a été révélée dans le client de messagerie Web open source RainLoop qui pourrait être armé pour siphonner les e-mails des boîtes de réception des victimes.
« La vulnérabilité du code […] peut être facilement exploité par un attaquant en envoyant un e-mail malveillant à une victime qui utilise RainLoop comme client de messagerie », Simon Scannell, chercheur en sécurité chez SonarSource mentionné dans un rapport publié cette semaine.
« Lorsque l’e-mail est consulté par la victime, l’attaquant prend le contrôle total de la session de la victime et peut voler n’importe lequel de ses e-mails, y compris ceux qui contiennent des informations très sensibles telles que des mots de passe, des documents et des liens de réinitialisation de mot de passe. »
Suivie sous le nom de CVE-2022-29360, la faille concerne une vulnérabilité de cross-site-scripting (XSS) stockée impactant la dernière version de RainLoop (v1.16.0) qui a été publié le 7 mai 2021.
Les failles XSS stockées, également appelées XSS persistantes, se produisent lorsqu’un script malveillant est injecté directement dans le serveur d’une application Web cible au moyen d’une entrée utilisateur (par exemple, un champ de commentaire) qui est stockée en permanence dans une base de données et est ensuite servie à d’autres utilisateurs.
Impactant toutes les installations de RainLoop fonctionnant sous des configurations par défaut, les chaînes d’attaque exploitant la faille pourraient prendre la forme d’un e-mail spécialement conçu envoyé aux victimes potentielles qui, lorsqu’il est visualisé, exécute une charge utile JavaScript malveillante dans le navigateur sans nécessiter aucune interaction de l’utilisateur.
SonarSource, dans son calendrier de divulgation, a déclaré avoir informé les responsables de RainLoop du bogue le 30 novembre 2021 et que le fabricant de logiciels n’avait pas publié de correctif depuis plus de quatre mois.
Un publier soulevée sur GitHub par la société suisse de qualité et de sécurité du code le 6 décembre 2021, reste ouverte à ce jour. Nous avons contacté RainLoop pour obtenir des commentaires, et nous mettrons à jour l’histoire si nous vous répondons.
En l’absence de correctifs, SonarSource recommande aux utilisateurs de migrer vers un fork RainLoop appelé SnappyMailqui est activement maintenu et non affecté par le problème de sécurité.