Origine : bjCSIRT

Numéro : 2023/ALERTE/050

Date de l’alerte : 09/11/2023

APERÇU :

Roundcube est affectée par une vulnérabilité de type Cross Site Scripting (XSS) qui permettrait à un acteur malveillant d’exécuter du code HTML ou du code Javascript.

DESCRIPTION :

Roundcube est une application de messagerie basée sur le web et permettant aux utilisateurs d’accéder à leurs comptes de messagerie et de les gérer depuis un navigateur web.  

Cette application présente une vulnérabilité XSS libellée CVE-2023-47272 qui est due à une mauvaise validation des entêtes Content-Type ou Content-Disposition présente dans les requêtes http.  

Cette vulnérabilité survient lorsqu’un acteur malveillant injecte du code malicieux dans ces entêtes des requêtes HTTP envoyées au serveur afin de compromettre la sécurité de l’application. 

Cette vulnérabilité est de sévérité Medium et son score est de 6.1. 

IMPACT :

• Atteinte à la confidentialité des données ; 
• Atteinte à l’intégrité des données. 

SYSTÈMES AFFECTÉS : 

• Versions 1.5.x antérieures à la version 1.5.6 de Roundcube ; 
• Versions 1.6.x antérieures à la version 1.6.5 de Roundcube.

MESURES À PRENDRE : 

Mettre à jour Roundcube vers la version 1.6.5.

RÉFÉRENCES :

• https://nvd.nist.gov/vuln/detail/CVE-2023-47272 
• https://www.cvedetails.com/cve/CVE-2023-47272/ 
• https://roundcube.net/news/2023/11/05/security-updates-1.6.5-and-1.5.6