Roundcube Webmail XSS-lek laat aanvaller e-mailaccounts overnemen
Een kwetsbaarheid in Roundcube Webmail maakt het mogelijk voor aanvallers om op afstand e-mailaccounts over te nemen. Beveiligingslekken in RoundCube zijn in het verleden vaker gebruikt bij aanvallen en de Poolse overheid spreekt van een gevaarlijke kwetsbaarheid. Er zijn updates beschikbaar om het probleem te verhelpen. Roundcube is opensource-webmailsoftware en wordt door allerlei organisaties gebruikt.
Het beveiligingslek (CVE-2025-68461), gevonden door een onderzoeker van securitybedrijf CrowdStrike, betreft een cross-site scripting (XSS) probleem. Het zorgt ervoor dat een aanvaller door het versturen van een e-mail met een speciaal geprepareerd SVG-bestand JavaScript-code in de browser van een gebruiker kan uitvoeren. Zo is het bijvoorbeeld mogelijk om e-mails te stelen of zelfs een e-mailaccount over te nemen, zo waarschuwt het Nationaal Cyber Security Centrum (NCSC). Organisaties worden opgeroepen om te updaten naar versies 1.6.12 en 1.5.12.
Ik heb gister een lek gevonden in MS-DOS 5.0 + Windows 3.10. Mensen moeten even upgraden naar Windows 11 om het lek te verhelpen.
Moraal: Wie niet geregeld updates draait, is lek. Wow wat een inzicht! Dat weet inderdaad vast niemand hier!
Ook heb ik meerdere keren meegemaakt dat software leveranciers een lts leverde maar dat bepaalde patches toch niet mee werden genomen naar lagere versie. dan heb je twee keuzes. 1 zelf code schrijven maar die wordr overschreven bij een update of 2 release candidate omhoog gaan met mogelijk ux ui veranderingen die je eerst in je kb kwijt moet voordat klanten inbellen.
Updaten is niet altijd zo simpel als het voor gehouden wordt. Dit exact zelfde probleem met svg zat 3 jaar geleden ook in horde. Sterker nog duizenden ISP zijn overgaan van horde naar roundcube omdat upstream provider stekker eruit trok
Wat ik echter niet begrijp is waarom roundcube niet hun les daar uitgeleerd heeft. Ik meen me nog te herinneren dat we via upstream in combi met statement roundcube waren verzekerd dat het niet kwetsbaar voor deze aanval was. Dus dat wordt even duiken in de correspondentie hier als ik op kantoor weer ben.
Leuk begin van eerste werkdag na de vakantie zullen we maar zeggen.
Precies. Bij mij is Roundcube onderdeel van het mail pakket van mijn nas. Alles zit op een andere locatie dan standaard zodat je moet wachten tot de nas leverancier Roudcube update. En snel zijn ze er doorgaans niet mee.
De CVE is op 18 december aangemaakt, ik vind dat het NCSC hier wel wat sneller op had kunnen reageren. Hun melding is van 31 dec.
Ik heb gister een lek gevonden in MS-DOS 5.0 + Windows 3.10. Mensen moeten even upgraden naar Windows 11 om het lek te verhelpen.
Moraal: Wie niet geregeld updates draait, is lek. Wow wat een inzicht! Dat weet inderdaad vast niemand hier!
Dit is niet bedoeld als inzicht, maar als aansporing.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?