Vulnerabilidades solucionadas en Roundcube Webmail (AL01/240806/CSIRT-ITA)

Síntesis

Roundcube ha publicado actualizaciones de seguridad para abordar tres vulnerabilidades, una de las cuales es «crítica», en su cliente de correo electrónico basado en navegador Webmail. Esta vulnerabilidad, si se explota, podría permitir que un atacante remoto obtenga acceso no autorizado a información confidencial en el sistema de destino.

Riesgo

Impacto estimado de la vulnerabilidad en la comunidad de referencia: ALTO/NARANJA (66,66/100)¹.

Tipología

• Information Disclosure
• Data Manipulation

Productos y/o versiones afectados

Roundcube Webmail

• versiones anteriores a 1.5.8
• 1.6.x, versiones anteriores a 1.6.8

Acciones de mitigacion

En línea con lo indicado por el proveedor, se recomienda actualizar los productos vulnerables siguiendo las indicaciones de los boletines de seguridad reportados en la sección Referencias.

Identificadores únicos de vulnerabilidad

CVE-2024-42008

CVE-2024-42009

CVE-2024-42010

Riferencias

https://github.com/roundcube/roundcubemail/releases

https://github.com/roundcube/roundcubemail/releases/tag/1.5.8

https://github.com/roundcube/roundcubemail/releases/tag/1.6.8

https://roundcube.net/news/2024/08/04/security-updates-1.6.8-and-1.5.8

¹Esta estimación se realiza teniendo en cuenta varios parámetros, entre ellos: CVSS, disponibilidad de patch/workaround y PoC, difusión del software/dispositivos afectados en la comunidad de referencia.