ԱՄՆ Կիբերանվտանգության և ենթակառուցվածքների անվտանգության գործակալությունը (CISA) շահագործվող խոցելիությունների (KEV) կատալոգում վերջերս ևս մեկ կրիտիկական խոցելիություն ավելացրեց, ինչն ազդում է Roundcube ծրագրաշարի վրա:
Խոցելիությունը որակվել է որպես CVE-2023-43770 (CVSS կատալոգում միավորը՝ 6.1): Այն վերաբերում է cross-site scripting (XSS)-ի խոցելիությանը:
National Vulnerability Database (NVD)-ի փոխանցած տվյալների համաձայն խոցելիությունն ազդում է Roundcube-ի հետևյալ տարբերակների վրա՝ 4.14, 1.5.x մինչև 1.5.4 և 1.6.x և 1.6.3։
Ներկայումս Roundcube-ի սպասարկողների կողմից խոցելիությունը շտկվել է դեռևս միայն 1.6.3 տարբերակում, որը թողարկվել էր 2023 թվականի սեպտեմբերի 15-ին: Zscaler-ի անվտանգության գծով փարձագետ՝ Նիրաջ Շիվտարկարին վերագրվել է խոցելիության հայտնաբերման և հաղորդման փաստը:
Ներկայումս հստակորեն հայտնի չեն խոցելիության շահագործման ծավալներն ու մասշտաբները, սակայն web-based email client-ի խոցելիությունը վերջերս նորովի համալրվել է ռուս հաքերների կողմից հետ, ինչպիսիք են՝ APT28-ը և Winter Vivern-ը:
Աղբյուրը՝ https://thehackernews.com/
