VS meldt actief misbruik van XSS-lek in Roundcube Webmail
Aanvallers maken actief misbruik van een cross-site scripting (XSS) kwetsbaarheid in Roundcube Webmail, zo laat het Amerikaanse cyberagentschap CISA weten. Eind vorig jaar verschenen er beveiligingsupdates voor het probleem. Roundcube is opensource-webmailsoftware en wordt door allerlei organisaties wereldwijd gebruikt. Een beveiligingslek in de software (CVE-2025-68461) maakt cross-site scripting mogelijk.
Het probleem zorgt ervoor dat een aanvaller door het versturen van een e-mail met een speciaal geprepareerd SVG-bestand JavaScript-code in de browser van een gebruiker kan uitvoeren. Zo is het bijvoorbeeld mogelijk om e-mails te stelen of zelfs een e-mailaccount over te nemen, zo waarschuwde het Nationaal Cyber Security Centrum (NCSC) over de kwetsbaarheid.
Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security maken aanvallers actief misbruik van het XSS-lek. Details over deze aanvallen zijn niet gegeven. In het verleden zijn beveiligingslekken in RoundCube vaker gebruikt bij aanvallen. De kwetsbaarheid is verholpen in versies 1.6.12 en 1.5.12.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.