Niraj Shivtarkar

Name of the Vulnerable Software and Affected Versions: Roundcube versões anteriores a 1.4.14, 1.5.x anteriores a 1.5.4 e 1.6.x anteriores a 1.6.3. Description: Roundcube Webmail contém uma vulnerabilidade de scripting cross-site (XSS) no componente `rcube string replacer.php` devido à sanitização insuficiente de caracteres em mensagens de e-mail text/plain. Isso permite que um invasor remoto execute código JavaScript arbitrário no contexto do navegador da vítima. A vulnerabilidade está sendo ativamente explorada na natureza, com relatos de exploração pelo ator de ameaças Winter Vivern. A CISA adicionou esta vulnerabilidade (CVE-2023-43770) ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas. Recommendations: Atualize o Roundcube para a versão 1.4.14 ou posterior. Atualize o Roundcube para a versão 1.5.4 ou posterior. Atualize o Roundcube para a versão 1.6.3 ou posterior.