CVE-2024-37383

Nome do software vulnerável e versões afetadas:

Versões do Roundcube Webmail anteriores à 1.5.7 e versões 1.6.x anteriores à 1.6.7

Descrição:

O problema está relacionado a uma vulnerabilidade de cross-site scripting armazenada no software Roundcube Webmail, permitindo que um invasor execute código JavaScript na página do usuário. Essa vulnerabilidade pode ser explorada enviando-se um e-mail malicioso a um usuário, que então executa o código malicioso quando o e-mail é aberto. A vulnerabilidade é causada pela filtragem inadequada de tags SVG, especificamente os atributos animate. Estima-se que mais de 2,7 milhões de serviços estejam potencialmente afetados, e já ocorreram incidentes reais em que essa falha foi explorada para roubar credenciais e comprometer e-mails.

Recomendações:

Para versões anteriores à 1.5.7 e 1.6.x anteriores à 1.6.7, atualize para a versão 1.5.7 ou 1.6.7 ou posterior para resolver o problema.

Como solução temporária, considere desativar o uso de elementos SVG em e-mails até que um patch seja aplicado.

Restrinja o acesso ao software de webmail Roundcube vulnerável para minimizar o risco de exploração.

Evite usar os atributos animate em elementos SVG em e-mails até que o problema seja resolvido.