Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) hôm thứ Hai đã thêm một lỗ hổng bảo mật nghiêm trọng trung bình ảnh hưởng đến phần mềm email Roundcube vào danh mục các lỗ hổng khai thác đã biết (KEV), dựa trên bằng chứng về việc khai thác tích cực.
Vấn đề, được theo dõi là CVE-2023-43770 (điểm CVSS: 6.1), liên quan đến lỗ hổng cross-site scripting (XSS) bắt nguồn từ việc xử lý linkrefs trong tin nhắn văn bản thuần túy.
"Roundcube Webmail chứa một lỗ hổng cross-site scripting (XSS) liên tục có thể dẫn đến việc tiết lộ thông tin thông qua các tham chiếu liên kết độc hại trong tin nhắn văn bản / thuần túy", CISA cho biết.
Theo mô tả về lỗi trên Cơ sở dữ liệu lỗ hổng quốc gia (NVD) của NIST, lỗ hổng này ảnh hưởng đến các phiên bản Roundcube trước 1.4.14, 1.5.x trước 1.5.4 và 1.6.x trước 1.6.3.
Lỗ hổng đã được các nhà bảo trì Roundcube giải quyết với phiên bản 1.6.3, được phát hành vào ngày 15 tháng 9 năm 2023. Nhà nghiên cứu bảo mật Zscaler Niraj Shivtarkar đã được ghi nhận là người phát hiện và báo cáo lỗ hổng.
Hiện tại vẫn chưa biết lỗ hổng đang được khai thác như thế nào trong tự nhiên, nhưng các lỗ hổng trong ứng dụng email dựa trên web đã được vũ khí hóa bởi các tác nhân đe dọa liên quan đến Nga như APT28 và Winter Vivern năm ngoái.
Các cơ quan của Chi nhánh Hành pháp Dân sự Liên bang Hoa Kỳ (FCEB) đã được ủy quyền áp dụng các bản sửa lỗi do nhà cung cấp cung cấp trước ngày 4 tháng 3 năm 2024, để bảo mật mạng của họ trước các mối đe dọa tiềm ẩn.