Kritische XSS Schwachstellen in RoundCube Webmail

Am 4. August 2024 wurden Sicherheitsupdates für die LTS-Versionen 1.6 und 1.5 von Roundcube Webmail veröffentlicht. Diese Updates, Versionen 1.6.8 und 1.5.8, beheben mehrere kürzlich gemeldete Sicherheitslücken.

Zu den behobenen Sicherheitsproblemen gehören zwei Cross-Site Scripting (XSS)-Schwachstellen: eine im Post-Processing von bereinigtem HTML-Inhalt (CVE-2024-42009) und eine andere bei der Bereitstellung von Anhängen (CVE-2024-42008). Zudem wurde ein Informationsleck durch unzureichende CSS-Filterung (CVE-2024-42010) behoben. Diese Schwachstellen wurden von Oskar Zeino-Mahmalat (Sonar) entdeckt und gemeldet.

Da die Sicherheitslücken potenziell dazu führen können, dass Angreifer E-Mails, Kontakte und Passwörter stehlen oder E-Mails im Namen des Opfers versenden, wird dringend empfohlen, alle produktiven Installationen von Roundcube auf die neuesten Versionen 1.6.8 oder 1.5.8 zu aktualisieren. Weitere Details und vollständige Änderungsprotokolle sind in den Release Notes auf den GitHub-Downloadseiten verfügbar.

Related Posts

Sicherheitsupdate für GitLab patcht XSS und Privilege Escalation

7. August 2024 – GitLab hat die neuen Patch-Versionen 17.2.2, 17.1.4 und 17.0.6 für die Community Edition (CE) und die Enterprise Edition (EE) veröffentlicht. Diese Updates enthalten wichtige Fehler- und Sicherheitskorrekturen. Es wird dringend empfohlen, alle GitLab-Installationen sofort zu aktualisieren.

Read More

Datenpanne bei National Public Data - 3 Mrd Datensätze nun öffentlich

6. August 2024 – National Public Data, ein Dienst von Jerico Pictures Inc., erlitt eine massive Datenpanne. Der Hacker „Fenice“ veröffentlichte 2,9 Milliarden Datensätze mit persönlichen Informationen, darunter Namen, Adressen und Sozialversicherungsnummern (SSNs) im Klartext. Betroffen sind hier vor allem US amerikanische Bürger.

Read More

Windows: gefährliche Downgrade-Attacke macht Patches rückgängig

Kurznews: Downgrade-Angriff auf Windows - Alte Schwachstellen erneut ausnutzbar Microsoft entwickelt derzeit Sicherheitsupdates, um zwei Schwachstellen zu beheben, die für Downgrade-Angriffe auf die Windows-Update-Architektur ausgenutzt werden könnten. Die Schwachstellen ermöglichen es Angreifern, aktuelle Versionen von Betriebssystemdateien durch ältere, verwundbare Versionen zu ersetzen.

Read More