2023-2529: Roundcube Webmail: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff

Historie:

Version 1 (2023-10-17 13:01): Neues Advisory
Version 2 (2023-10-20 18:27): Inzwischen wurden für zwei leicht unterschiedliche Varianten der Cross-Site-Scripting (XSS)-Schwachstelle die Schwachstellenbezeichner CVE-2023-5631 und CVE-2023-46267 vergeben.
Version 3 (2023-10-23 14:11): Für Debian 11 Bullseye (oldstable) steht Version 1.4.15+dfsg.1-1~deb11u1 und für Debian 12 Bookworm (stable) steht Version 1.6.4+dfsg-1~deb12u1 von roundcube bereit, um die Schwachstelle CVE-2023-5631 zu beheben.
Version 4 (2023-10-25 09:43): Für Debian 10 Buster (LTS) steht ein Sicherheitsupdate für 'roundcube' in Version 1.3.17+dfsg.1-1~deb10u4 bereit, um die Schwachstelle CVE-2023-5631 zu beheben.
Version 5 (2023-10-27 13:11): Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die Schwachstelle CVE-2023-5631 in ihren 'Known Exploited Vulnerabilities Catalog' aufgenommen, da diese aktiv ausgenutzt wird.
Version 6 (2023-11-03 08:26): Für openSUSE Backports SLE 15 SP5 steht ein Sicherheitsupdate für 'roundcubemail' auf Version 1.6.4 bereit, welches die Schwachstelle CVE-2023-5631 adressiert.

Betroffene Software

Office
Server

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um einen Cross-Site-Scripting (XSS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich. Die Schwachstelle erfordert die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung der Schwachstelle kann Einfluss auf andere Komponenten haben.

Der Hersteller bestätigt die Schwachstelle und stellt die Versionen 1.4.15, 1.5.5 und 1.6.4 zu ihrer Behebung bereit.

Es stehen Sicherheitsupdates für Roundcube Webmail für Fedora 37 und 38 auf Version 1.6.4 und für Fedora EPEL 9 auf Version 1.5.5 im Status 'testing' bereit.

Schwachstellen:

CVE-2023-46267

Schwachstelle in Roundcube Webmail ermöglicht Cross-Site-Scripting-Angriff

CVE-2023-5631