CISA Предупреждает об Активно Эксплуатируемой Уязвимости XSS в Roundcube

CISA выпустила предупреждение о уязвимости Cross-Site Scripting (XSS) в веб-почте Roundcube, идентифицированной как CVE-2023-43770, которую активно эксплуатируют злоумышленники. Эта уязвимость, обнаруженная Niraj Shivtarka из Zscaler, с оценкой CVSS 6.1, затрагивает версии Roundcube до 1.4.14, 1.5.x до 1.5.4 и 1.6.x до 1.6.3. Roundcube, клиент IMAP на базе PHP, совместимый с различными веб-серверами и базами данных, может раскрывать конфиденциальную информацию через злонамеренные ссылки в простых текстовых сообщениях.

Уязвимость была исправлена в версии Roundcube 1.6.3, выпущенной 15 сентября 2023 года. CISA добавила CVE-2023-43770 в свой список известных эксплуатируемых уязвимостей, призывая поставщиков применять меры по снижению рисков или прекратить использование затронутых версий. Более 132 000 серверов Roundcube доступны в открытом доступе в Интернете, что представляет потенциальные риски, если они не защищены должным образом.

Стабильная версия Roundcube Webmail 1.6.3 теперь доступна для обновления, и конкретное исправление также было реализовано в версии Debian ten buster 1.3.17+dfsg.1-1~deb10u3.

Source: Cyber Security News

Чтобы смягчить потенциальные угрозы, важно реализовать дополнительные меры по обеспечению кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сами, используя check.website.