【漏洞预警】Roundcube Webmail跨站脚本漏洞（CVE-2024-42009、CVE-2024-42008）

原创 聚焦网络安全情报 安全聚 2024-08-06 20:13

预警公告 严重

近日，安全聚实验室监测到 Roundcube Webmail 中存在多个跨站脚本漏洞，编号为：CVE-2024-42009、CVE-2024-42008， 这些漏洞当受害者在Roundcube中查看恶意电子邮件时，可能导致攻击者利用该漏洞窃取电子邮件和联系人、获取受害者的电子邮件密码，并从受害者的账户发送电子邮件等恶意行为。

01

漏洞描述

Roundcube Webmail是一个开源的基于web的电子邮件客户端，旨在提供用户友好的界面和强大的功能，使用户能够通过web浏览器方便地访问和管理他们的电子邮件。Roundcube支持标准的邮件协议（如IMAP和SMTP），并提供了许多常见的邮件功能，如收发邮件、管理联系人、创建日历事件等。其界面简洁直观，易于使用，同时还支持插件扩展，用户可以根据自己的需求定制功能。Roundcube Webmail被广泛应用于个人用户、企业和组织，为他们提供了一个方便、安全的电子邮件管理解决方案。Roundcube Webmail在处理HTML和SVG等附件时存在跨站脚本漏洞。未经身份验证的攻击者可以利用该漏洞，在受害者查看恶意电子邮件时窃取电子邮件、联系人信息，获取受害者的电子邮件密码，并利用受害者的账户发送恶意电子邮件等恶意行为。

02

影响范围

Roundcube Webmail <= 1.6.7Roundcube Webmail <= 1.5.7

03

安全措施

目前厂商已发布可更新版本，建议用户尽快更新至 Roundcube Webmail 的修复版本或更高的版本：Roundcube Webmail >= 1.6.8Roundcube Webmail >= 1.5.8下载链接：https://github.com/roundcube/roundcubemail/releases

04

参考链接

1.https://roundcube.net/news/2024/08/04/security-updates-1.6.8-and-1.5.82.https://www.sonarsource.com/blog/government-emails-at-risk-critical-cross-site-scripting-vulnerability-in-roundcube-webmail/

05

技术支持

长按识别二维码，关注“安全聚”公众号，联系我们的团队技术支持。