Beveiligingsadvies NCSC-2024-0326 [1.00] [M/H] Kwetsbaarheden verholpen in RoundCube Webmail

Kwetsbaarheden Verholpen in RoundCube Webmail

Overzicht

Op deze pagina wordt de tekst van officiële beveiligingsadviezen automatisch omgezet naar HTML, waarbij mogelijk informatie kan verloren gaan. De originele Signed PGP-versies zijn altijd leidend.

Adviesgeschiedenis

Publicatie Kans Schade
vandaag

medium

high

NCSC-2024-0326 [1.00] Signed-PGP →
CSAF →
PDF →

Kenmerken

Kenmerken
  • Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)
  • Exposure of Sensitive Information to an Unauthorized Actor

Omschrijving

Er zijn kwetsbaarheden verholpen in RoundCube Webmail. Kwaadwillenden kunnen deze kwetsbaarheden misbruiken om een Cross-Site Scripting (XSS) aanval uit te voeren. Dit kan leiden tot de uitvoering van willekeurige code in de browser van het slachtoffer of toegang geven tot gevoelige gegevens binnen diezelfde browsercontext.

Bereik

Platforms Producten Versies
roundcube roundcube 1.5.0 – 1.5.7, 1.6.0 – 1.6.7

Oplossingen

De ontwikkelaars van RoundCube hebben updates uitgebracht om de kwetsbaarheden te verhelpen in RoundCube versies 1.5.8 en 1.6.8. Voor meer informatie kunt u de volgende links raadplegen:

CVE’s

De volgende CVE’s zijn toegekend aan de kwetsbaarheden:

Door gebruik te maken van deze security advisory gaat u akkoord met de onderstaande voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of actualiteit ervan. De informatie is uitsluitend bedoeld als algemene informatie voor professionele partijen, en er kunnen geen rechten aan worden ontleend.
Het NCSC en de Staat zijn niet aansprakelijk voor enige schade als gevolg van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder schade als gevolg van de onjuistheid of onvolledigheid van de informatie.
Op dit beveiligingsadvies is Nederlands recht van toepassing, en alle geschillen zullen worden voorgelegd aan de exclusief bevoegde rechter in Den Haag.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----