개요
Roundcube Webmail에서 발생하는 취약점을 해결하는 업데이트를 발표하였습니다. 해당하는 버전의 사용자는 최신 버전으로 업데이트하시기 바랍니다.
대상 제품
CVE-2024-42008, CVE-2024-42009, CVE-2024-42010
- Roundcube Webmail 버전: 1.5.7
- Roundcube Webmail 버전: 1.6.x(포함) ~ 1.6.7(포함)
해결된 취약점
rcmail_action_mail_get->run()에 있는 크로스 사이트 스크립팅 취약점을 악용해 원격 공격자가 위험한 Content-Type 헤더가 포함된 악의적인 이메일 첨부 파일을 통해 피해자의 이메일을 훔쳐 보낼 수 있는 취약점(CVE-2024-42008)
공격자가 program/actions/mail/show.php의 message_body()에 있는 Desanitization 문제를 악용해 조작된 이메일 메시지를 통해 피해자의 이메일을 훔쳐 보낼 수 있는 취약점(CVE-2024-42009)
Roundcube 일부 버전 mod_css_styles은 렌더링된 이메일 메시지에서 Cascading Style Sheets(CSS) 토큰 시퀀스를 충분히 필터링하지 못해 원격 공격자가 민감한 정보를 얻을 수 있는 취약점(CVE-2024-42010)
취약점 패치
최신 업데이트를 통해 제품별 취약점 패치가 다음과 같이 제공되었습니다. 영향받는 버전을 이용하는 경우 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
CVE-2024-42008, CVE-2024-42009, CVE-2024-42010
- Roundcube Webmail 버전: 1.5.8
- Roundcube Webmail 버전: 1.6.8
참고사이트
[1] roundcube Webmail/releases/1.5.8
https://github.com/roundcube/roundcubemail/releases/tag/1.5.8
[2] roundcube Webmail/releases/1.6.8
https://github.com/roundcube/roundcubemail/releases/tag/1.6.8