Schwere Schwachstelle bei Roundcube

Sicherheitshinweis zur Webmail-Software Roundcube

28.01.2021

Aufgrund eines Sicherheitshinweises zur Webmail-Software Roundcube, der zum Jahresende 2020 veröffentlicht wurde, wurden möglicherweise betroffene Systeme im Zuständigkeitsbereich des DFN identifiziert.

Die Roundcube-Webmail-Anwendung führt Inline-Link-Referenzen in Textnachrichten aus. Bei der Art und Weise, wie Roundcube Webmail-Link-Referenzen in Textnachrichten behandelt, wurde eine Schwachstelle in der Eingabebereinigung entdeckt, die für gespeicherte Cross-Site-Scripting (XSS)-Angriffe ausgenutzt werden kann.

Ein entfernter Angreifer kann eine speziell gestaltete E-Mail mit bösartigem Text senden und beliebigen JavaScript-Code im Kontext der Schwachstelle ausführen, wenn der Benutzer die Nachricht anzeigen lässt. Dies ermöglicht es dem Angreifer, sich als der Benutzer, also das Opfer, auszugeben und in dessen Namen auf die Webmail-Funktionen zuzugreifen. (Quelle: https://www.alexbirnberg.com/roundcube-xss.html)

Technische Informationen zur Schwachstelle erhalten Sie hier:
https://www.alexbirnberg.com/roundcube-xss.html

Patches und weitere Hinweise zu betroffenen Versionen finden Sie beim Hersteller:
https://roundcube.net/news/2020/12/27/security-updates-1.4.10-1.3.16-and-1.[..]