image

Securitybedrijf meldt actief misbruik van XSS-lek in Roundcube Webmail

maandag 21 oktober 2024, 12:30 door Redactie, 3 reacties

Aanvallers maken opnieuw actief misbruik van een XSS-kwetsbaarheid in Roundcube Webmail, zo meldt securitybedrijf Positive Technologies. Roudcube is opensource-webmailsoftware en wordt door allerlei organisaties gebruikt. De afgelopen jaren werden er meerdere kwetsbaarheden in de software misbruikt waardoor cross-site scripting (XSS) mogelijk is.

CVE-2024-37383 is de nieuwste XSS-kwetsbaarheid die bij aanvallen wordt ingezet. Roundcube kwam op 19 mei met een beveiligingsupdate voor het probleem. Via het beveiligingslek kan een aanvaller door middel van een malafide bericht berichten van de mailserver stelen. Ook wordt gebruikers een html-pagina getoond die hen vraagt om opnieuw in te loggen. Ingevulde gegevens worden vervolgens naar de aanvaller gestuurd.

Aanvallers blijken al sinds 8 juni misbruik van het beveiligingslek te maken, door een e-mail met malafide bijlage te sturen naar een niet nader genoemd land van het Gemenebest van Onafhankelijke Staten, aldus het securitybedrijf. Eerder dit jaar waarschuwde de Amerikaanse overheid nog voor twee misbruikte XSS-kwetsbaarheden in RoundCube Webmail (CVE-2023-43770 en CVE-2020-13965). ESET meldde daarnaast misbruik van een ander XSS-probleem (CVE-2023-5631).

Reacties (3)
22-10-2024, 07:31 door Anoniem
OWASP beveelt aan "Fortunately, applications built with modern web frameworks have fewer XSS bugs, because these frameworks steer developers towards good security practices" (https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html)

Zeg maar zoals in de discussie over memory safety, dat C / C++ programmeurs vinden dat je prima veilige programma's kunt schrijven zonder Rust. PHP-programmeurs vinden dat van zichzelf blijkbaar ook.
22-10-2024, 11:31 door Anoniem
Door Anoniem: OWASP beveelt aan "Fortunately, applications built with modern web frameworks have fewer XSS bugs, because these frameworks steer developers towards good security practices" (https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html)

Zeg maar zoals in de discussie over memory safety, dat C / C++ programmeurs vinden dat je prima veilige programma's kunt schrijven zonder Rust. PHP-programmeurs vinden dat van zichzelf blijkbaar ook.

noem 1 eenvoudig te installeren open source webmail programma dat niet op php is gebaseerd?
22-10-2024, 21:38 door Anoniem
Mailpile is webgebaseerd, maar draait lokaal.
Waarom zou je ook een webprogramma willen hebben in een browser? De bediening is zo niet conform anno nu. Iedereen gebruikt lokale native apps, met GUI of via de CLI. Daarvan is de keuze reuze, ook FOSS: https://en.wikipedia.org/wiki/Comparison_of_email_clients
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.