Une faille de s\u00e9curit\u00e9 de haute gravit\u00e9 non corrig\u00e9e a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9e dans le client de messagerie Web open source RainLoop qui pourrait \u00eatre arm\u00e9 pour siphonner les e-mails des bo\u00eetes de r\u00e9ception des victimes.<\/p>\n
“La vuln\u00e9rabilit\u00e9 du code […] peut \u00eatre facilement exploit\u00e9 par un attaquant en envoyant un e-mail malveillant \u00e0 une victime qui utilise RainLoop comme client de messagerie \u00bb, Simon Scannell, chercheur en s\u00e9curit\u00e9 chez SonarSource mentionn\u00e9<\/a> dans un rapport publi\u00e9 cette semaine.<\/p>\n “Lorsque l’e-mail est consult\u00e9 par la victime, l’attaquant prend le contr\u00f4le total de la session de la victime et peut voler n’importe lequel de ses e-mails, y compris ceux qui contiennent des informations tr\u00e8s sensibles telles que des mots de passe, des documents et des liens de r\u00e9initialisation de mot de passe.”<\/p>\n Suivie sous le nom de CVE-2022-29360, la faille concerne une vuln\u00e9rabilit\u00e9 de cross-site-scripting (XSS) stock\u00e9e impactant la derni\u00e8re version de RainLoop (v1.16.0<\/a>) qui a \u00e9t\u00e9 publi\u00e9 le 7 mai 2021.<\/p>\n Les failles XSS stock\u00e9es, \u00e9galement appel\u00e9es XSS persistantes, se produisent lorsqu’un script malveillant est inject\u00e9 directement dans le serveur d’une application Web cible au moyen d’une entr\u00e9e utilisateur (par exemple, un champ de commentaire) qui est stock\u00e9e en permanence dans une base de donn\u00e9es et est ensuite servie \u00e0 d’autres utilisateurs.<\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Des-pirates-informatiques-iraniens-utilisent-un-nouveau-logiciel-malveillant-despionnage.png\")
<\/a><\/div>\n