Síntesis
La explotación activa de la vulnerabilidad CVE-2024-37383, readyizada, remediada por el proveedor, que afecta el producto RoundCube Webmail, conocido administrador de correo electrónico de código abierto.
Riesgo
Estimación de impacto de la vulnerabilidad en la comunidad de referencia: alto/naranja (70.64/100) 1.
Tipo
- Information Disclosure
- Privilege Escalation
Descripción
Recientemente se ha detectado la explotación de la vulnerabilidad CVE-2024-37383 que se remedió por el proveedor, que afecta el Producto RoundCube WebMail, conocido gerente de correo electrónico de código abierto, se ha detectado recientemente.
Esta vulnerabilidad, del tipo de «secuencia de comandos de sitio cruzado» y con la puntuación CVSS V3 igual a 6.1, podría permitir, a un usuario remoto remotamente, la ejecución del código de JavaScript arbitrario, el acceso a la información confidencial y la posibilidad de aumentar sus privilegios en sistemas objetivo.
Productos y versiones afectados
RoundCube Webmail
- 1.6.x, versiones anteriores a 1.6.7
- Todas las versiones anteriores a 1.5.7
Acciones de mitigación
Si aún no se proporciona, se recomienda actualizar los productos vulnerables siguiendo las indicaciones del boletín de seguridad que se muestra en la sección Referencias.
Indicadores de vulnerabilidad unívocal
Referencias
https://github.com/roundcube/roundcubemail/releases
https://lists.debian.org/debian-lts-anunce/2024/06/msg00008.html
1La presente estimación se hace teniendo en cuenta varios parámetros, que incluyen: CVSS, disponibilidad de patch/workaround y POC, difusión del software/dispositivos en cuestión en la comunidad de referencia.
