La Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) ha agregado una vulnerabilidad de gravedad media al software de correo electrónico Roundcube en su catálogo de Vulnerabilidades Conocidas Explotadas (KEV). La falla se relaciona con una vulnerabilidad persistente de scripting entre sitios (XSS) que puede llevar a la <a href='‘>divulgación de información a través de <a href='‘>referencias de enlace maliciosas en mensajes de texto / sin formato.
La descripción de la vulnerabilidad en la Base de Datos Nacional de Vulnerabilidades (NVD) del NIST, indica que esta afecta a las versiones anteriores a 1.4.14 y 1.5.x de Roundcube, así como a las versiones anteriores a 1.6.3 de Roundcube 1.6.x.
La vulnerabilidad fue solucionada en la versión 1.6.3 de Roundcube, que se lanzó el 15 de septiembre de 2023, gracias al trabajo del investigador de seguridad Niraj Shivtarkar de Zscaler. Actualmente, no se conocen detalles sobre la explotación de la falla en el mundo real, aunque se sabe que <a href='‘>APT28 y <a href='‘>Winter Vivern utilizaron vulnerabilidades en el cliente de correo electrónico basado en la web el año pasado.
Las agencias federales del Poder Ejecutivo Civil de EE. UU. tienen hasta el 4 de marzo de 2024 para implementar las correcciones suministradas por el proveedor y proteger sus redes contra posibles ciberataques.
Vía The Hacker News