Revenir aux alertes

Bulletin d'alerte du CERT

Multiples vulnérabilités dans Roundcube

septembre 2024

En cours

Résumé

Le 4 août 2024, Roundcube a publié des correctifs concernant les vulnérabilités critiques CVE-2024-42008 et CVE-2024-42009 affectant son serveur de courriel.

Ces vulnérabilités permettent des injections de code indirectes à distance (XSS) qui peuvent, par exemple, conduire à la récupération du contenu des courriels de l’utilisateur. De plus, l’attaquant peut également être en mesure d’envoyer des courriels en se faisant passer pour la victime.

La vulnérabilité CVE-2024-42009 peut être exploitée par une simple ouverture du courriel piégé tandis que la vulnérabilité CVE-2024-42008 nécessite que l’utilisateur effectue une action supplémentaire.

Roundcube est un produit en source ouverte et les correctifs sont accessibles publiquement. Le CERT-FR anticipe donc la publication à court terme de codes d’exploitation publics. Des vulnérabilités de ce type ont été activement exploitées sur des serveurs Roundcube Webmail par le passé.

Solutions

Les versions correctives 1.6.8 et 1.5.8 LTS ont été publiées.

De plus, l’exploitation des vulnérabilités nécessite l’ouverture des courriels voire de cliquer sur des éléments qu’ils contiennent. Le CERT-FR recommande donc de limiter au maximum l’interaction avec des messages d’origine non vérifiée.

Gestion du document

Référence : CERTFR-2024-ALE-010
Titre : Multiples vulnérabilités dans Roundcube
Date de la première version : 09 août 2024
Date de la dernière version : 09 août 2024
Source(s) : Bulletin de sécurité Roundcube du 04 août 2024
Pièce(s) jointe(s) : Aucune(s)

Risques

  • Atteinte à la confidentialité des données
  • Injection de code indirecte à distance (XSS)

Systèmes affectés

  • Roundcube Webmail versions 1.5.x antérieures à 1.5.8
  • Roundcube Webmail versions 1.6.x antérieures à 1.6.8

Documentation

  • Bulletin de sécurité Roundcube du 04 août 2024
    https://roundcube.net/news/2024/08/04/security-updates-1.6.8-and-1.5.8
  • Avis CERTFR-2024-AVI-0647 du 5 août 2024
    https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0647/
  • Référence CVE CVE-2024-42008
    https://www.cve.org/CVERecord?id=CVE-2024-42008
  • Référence CVE CVE-2024-42009
    https://www.cve.org/CVERecord?id=CVE-2024-42009
  • Référence CVE CVE-2024-42010
    https://www.cve.org/CVERecord?id=CVE-2024-42010

Signaler un incident de sécurité en remplissant ce formulaire. Notre équipe vous recontactera dans les plus brefs délais.

« * » indique les champs nécessaires

RGPD*
Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.