Byly zveřejněny podrobnosti o bezpečnostních chybách ve webovém poštovním rozhraní Roundcube, které lze za určitých okolností zneužít ke spuštění škodlivého JavaScriptu ve webovém prohlížeči oběti a získání citlivých informací z jejího účtu. Pro zneužití přitom stačí, aby oběť zobrazila škodlivý mail zaslaný útočníkem.
Útočníci mohou zranitelnost zneužít ke krádeži e-mailů, kontaktů a e-mailového hesla oběti a také k odesílání e-mailů z účtu oběti. Odhaleny byly celkem tři chyby, označené jako CVE-2024–42008, CVE-2024–42009 a CVE-2024–42010. Ve dvou případech jde o cross-site scripting, v jednom o nedostatečnou filtraci CSS.
Chyby byly vývojářům oznámeny 18. června a oprava byla nasazena v Roundcube 1.6.8 a 1.5.8 ze 4. srpna. Doporučujeme správcům co nejdříve záplatovat.
