Email Client Roundcube - XSS Schwachstelle wird ausgenutzt
Die kürzlich bekanntgewordene Schwachstelle CVE-2023-43770 im Webmail Client Roundcube ermöglicht es Angreifer Cross-Site Scripting (XSS) über Text-E-Mail-Nachrichten mit speziell gestalteten Links auszuführen. Diese Schwachstelle betrifft Versionen von Roundcube vor 1.4.14, 1.5.x vor 1.5.4 und 1.6.x vor 1.6.3. Durch die Ausnutzung dieser Sicherheitslücke können Angreifer beliebigen JavaScript-Code ausführen, indem sie die Verhaltensweise von rcube_string_replacer.php ausnutzen​​​​​​.
Es wurde ein Proof-of-Concept (PoC) für diese Schwachstelle veröffentlicht, das demonstriert, wie Angreifer die Schwachstelle ausnutzen können. Der PoC zeigt den Einsatz eines Python-Skripts, das speziell gestaltete E-Mail-Nachrichten an Opfer sendet, um die Sicherheitslücke zu demonstrieren​​.
Die Beseitigung dieser Schwachstelle erfordert das Aktualisieren auf neuere Versionen von Roundcube, die nicht von CVE-2023-43770 betroffen sind. cPanel hat beispielsweise neue Roundcube RPMs herausgegeben, um die Schwachstellen CVE-2023-43770 und CVE-2023-5631 zu beheben. Serverbesitzer sollten dringend auf die aktualisierten cPanel & WHM-Versionen upgraden, die die Patches für diese Sicherheitslücken enthalten​​.