CERTFR-2024-ALE-010
Vulnerability from certfr_alerte
Le 4 août 2024, Roundcube a publié des correctifs concernant les vulnérabilités critiques CVE-2024-42008 et CVE-2024-42009 affectant son serveur de courriel.
Ces vulnérabilités permettent des injections de code indirectes à distance (XSS) qui peuvent, par exemple, conduire à la récupération du contenu des courriels de l'utilisateur. De plus, l’attaquant peut également être en mesure d’envoyer des courriels en se faisant passer pour la victime.
La vulnérabilité CVE-2024-42009 peut être exploitée par une simple ouverture du courriel piégé tandis que la vulnérabilité CVE-2024-42008 nécessite que l’utilisateur effectue une action supplémentaire.
Roundcube est un produit en source ouverte et les correctifs sont accessibles publiquement. Le CERT-FR anticipe donc la publication à court terme de codes d’exploitation publics. Des vulnérabilités de ce type ont été activement exploitées sur des serveurs Roundcube Webmail par le passé.
Solutions
Les versions correctives 1.6.8 et 1.5.8 LTS ont été publiées.
De plus, l'exploitation des vulnérabilités nécessite l'ouverture des courriels voire de cliquer sur des éléments qu'ils contiennent. Le CERT-FR recommande donc de limiter au maximum l'interaction avec des messages d'origine non vérifiée.
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Roundcube | Roundcube Webmail | Roundcube Webmail versions 1.5.x antérieures à 1.5.8 | ||
| Roundcube | Roundcube Webmail | Roundcube Webmail versions 1.6.x antérieures à 1.6.8 |
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Roundcube Webmail versions 1.5.x ant\u00e9rieures \u00e0 1.5.8",
"product": {
"name": "Roundcube Webmail",
"vendor": {
"name": "Roundcube",
"scada": false
}
}
},
{
"description": "Roundcube Webmail versions 1.6.x ant\u00e9rieures \u00e0 1.6.8",
"product": {
"name": "Roundcube Webmail",
"vendor": {
"name": "Roundcube",
"scada": false
}
}
}
],
"affected_systems_content": "",
"closed_at": "2024-10-07",
"content": "## Solutions\n\nLes versions correctives 1.6.8 et 1.5.8 LTS ont \u00e9t\u00e9 publi\u00e9es. \n\nDe plus, l\u0027exploitation des vuln\u00e9rabilit\u00e9s n\u00e9cessite l\u0027ouverture des courriels voire de cliquer sur des \u00e9l\u00e9ments qu\u0027ils contiennent. Le CERT-FR recommande donc de limiter au maximum l\u0027interaction avec des messages d\u0027origine non v\u00e9rifi\u00e9e. ",
"cves": [
{
"name": "CVE-2024-42009",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-42009"
},
{
"name": "CVE-2024-42008",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-42008"
},
{
"name": "CVE-2024-42010",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-42010"
}
],
"initial_release_date": "2024-08-09T00:00:00",
"last_revision_date": "2024-10-07T00:00:00",
"links": [
{
"title": "Avis CERTFR-2024-AVI-0647 du 5 ao\u00fbt 2024",
"url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0647/"
}
],
"reference": "CERTFR-2024-ALE-010",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2024-08-09T00:00:00.000000"
},
{
"description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
"revision_date": "2024-10-07T00:00:00.000000"
}
],
"risks": [
{
"description": "Injection de code indirecte \u00e0 distance (XSS)"
},
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": "Le 4 ao\u00fbt 2024, Roundcube a publi\u00e9 des correctifs concernant les vuln\u00e9rabilit\u00e9s critiques CVE-2024-42008 et CVE-2024-42009 affectant son serveur de courriel.\n\nCes vuln\u00e9rabilit\u00e9s permettent des injections de code indirectes \u00e0 distance (XSS) qui peuvent, par exemple, conduire \u00e0 la r\u00e9cup\u00e9ration du contenu des courriels de l\u0027utilisateur. De plus, l\u2019attaquant peut \u00e9galement \u00eatre en mesure d\u2019envoyer des courriels en se faisant passer pour la victime.\n\nLa vuln\u00e9rabilit\u00e9 CVE-2024-42009 peut \u00eatre exploit\u00e9e par une simple ouverture du courriel pi\u00e9g\u00e9 tandis que la vuln\u00e9rabilit\u00e9 CVE-2024-42008 n\u00e9cessite que l\u2019utilisateur effectue une action suppl\u00e9mentaire.\n\nRoundcube est un produit en source ouverte et les correctifs sont accessibles publiquement. Le CERT-FR anticipe donc la publication \u00e0 court terme de codes d\u2019exploitation publics.\nDes vuln\u00e9rabilit\u00e9s de ce type ont \u00e9t\u00e9 activement exploit\u00e9es sur des serveurs Roundcube Webmail par le pass\u00e9.",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans Roundcube",
"vendor_advisories": [
{
"published_at": "2024-08-04",
"title": "Bulletin de s\u00e9curit\u00e9 Roundcube",
"url": "https://roundcube.net/news/2024/08/04/security-updates-1.6.8-and-1.5.8"
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
- Confirmed: The vulnerability is confirmed from an analyst perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
- Patched: This vulnerability was successfully patched by the user reporting the sighting.
- Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
- Not confirmed: The user expresses doubt about the veracity of the vulnerability.
- Not patched: This vulnerability was not successfully patched by the user reporting the sighting.