Une faille XSS activement exploitée a été découverte dans le webmail Roundcube © Shutterstock
Une faille XSS activement exploitée a été découverte dans le webmail Roundcube © Shutterstock

L’Agence de cybersécurité et de sécurité des infrastructures américaine (CISA) a sonné l’alarme concernant le webmail Roundcube. En cause, une faille de sécurité activement exploitée. Un correctif a déjà été déployé.

La semaine dernière, la CISA a révélé la présence d’une vulnérabilité de sévérité moyenne affectant le client de messagerie Roundcube. Estampillée CVE-2023-43770, la faille s’est vu attribuer un score CVSS de 6.1. Pour rappel, CVSS, pour Common Vulnerability Scoring System, est un système de notation standardisé des vulnérabilités. Au-delà de 7, elles passent d’un niveau de sévérité « moyen » à « important ».

Une vulnérabilité XSS activement exploitée

Alors que Roundcube, service mail fourni par l'hébergeur web OVH, figure sur la liste des logiciels recommandés par l’État français dans l’administration, la CISA a alerté sur l’exploitation active d’une faille XSS persistante (cross-site scripting). Celle-ci permet aux hackers d’injecter du code malveillant avec la redirection de liens hypertextes contenus dans les messages (bruts et textes).

Heureusement, le patch de sécurité a déjà été déployé © Shutterstock
Heureusement, le patch de sécurité a déjà été déployé © Shutterstock

D’après la base de données nationale alimentée par le NIST, cette vulnérabilité, créditée à Niraj Shivtarkar, chercheur en sécurité chez Zscaler, concerne les versions de Roundcube antérieures à 1.4.14, mais aussi les versions 1.5.x antérieures à 1.5.4, et 1.6.x antérieures à 1.6.3. Un patch de sécurité a déjà été déployé par les responsables de Roundcube avec la version 1.6.3, déployée en septembre 2023. Les utilisateurs et utilisatrices du webmail sont donc invités à mettre à jour le logiciel dans les plus brefs délais.

Si l’on ne sait pas exactement comment et par qui la vulnérabilité est exploitée, le mode n’est pas sans rappeler les exploits pilotés par les groupes de pirates russes APT28 et Winter Vivern ayant déjà affecté les serveurs de Roundcube en octobre dernier. Les cyberattaques avaient alors visé plus de 80 organisations, principalement en Pologne, en Ukraine et en France, dans le but d’obtenir des renseignements sur les activités militaires et politiques européennes.

Quels sont les meilleurs logiciels de messagerie électronique ? Comparatif 2024
Il est temps de reprendre en main sa boîte mail qui a probablement débordé. Que vous soyez étudiant, professionnel ou simple utilisateur, une gestion efficace de vos e-mails est cruciale pour rester productif et organisé. Face à la multitude d'options disponibles, choisir le bon logiciel de messagerie peut s'avérer complexe. Pour vous aider à faire le tri, nous avons sélectionné et analysé les meilleurs clients de messagerie pour 2024.
A découvrir
Les meilleures boîtes mail gratuites en 2024

18 novembre 2024 à 15h14

Comparatifs services

Source : CISA