Siber Muhbir

CVE-2023-43770 (CVSS puanı: 6.1) olarak izlenen sorun, düz metin mesajlarında linkref'lerin işlenmesinden kaynaklanan bir siteler arası komut dosyası çalıştırma (XSS) kusuruyla ilgilidir.

CISA, "Roundcube Webmail, düz/metin mesajlarında kötü amaçlı bağlantı referansları yoluyla bilgilerin açığa çıkmasına yol açabilecek kalıcı bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı içeriyor" dedi.

NIST'in Ulusal Güvenlik Açığı Veritabanı'ndaki (NVD) hatanın açıklamasına göre, güvenlik açığı 1.4.14'ten önceki Roundcube sürümlerini, 1.5.4'ten önceki 1.5.x'i ve 1.6.3'ten önceki 1.6.x'i etkiliyor.

Kusur, Roundcube geliştiricileri tarafından 15 Eylül 2023'te piyasaya sürülen 1.6.3 sürümüyle giderildi. Zscaler güvenlik araştırmacısı Niraj Shivtarkar, güvenlik açığını keşfeden ve bildiren kişi olarak kabul edildi.

Şu anda güvenlik açığından nasıl yararlanıldığı bilinmiyor, ancak web tabanlı e-posta istemcisindeki kusurlar, geçen yıl APT28 ve Winter Vivern gibi Rusya bağlantılı tehdit aktörleri tarafından silahlandırıldı.

ABD Federal Sivil Yürütme Şubesi (FCEB) kurumları, ağlarını potansiyel tehditlere karşı güvence altına almak için 4 Mart 2024'e kadar satıcı tarafından sağlanan düzeltmeleri uygulamakla görevlendirildi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.