Las actualizaciones de seguridad de Roundcube Webmail parchean múltiples vulnerabilidades críticas

Roundcube Webmail, un cliente de correo electrónico IMAP basado en web de código abierto ampliamente utilizado, lanzó la versión 1.6.14, que ofrece parches de seguridad críticos para corregir múltiples vulnerabilidades graves en la rama 1.6.x. La versión resuelve una gama compleja de problemas de seguridad, que van desde riesgos de escritura arbitraria de archivos previos a la autenticación hasta secuencias de comandos entre sitios (XSS) y falsificación de solicitudes del lado del servidor (SSRF).

Vulnerabilidades críticas abordadas La vulnerabilidad más grave parcheada en esta versión implica una falla de escritura de archivos arbitraria previa a la autenticación. Debido a que esta falla no requiere que un atacante se autentique, representa un riesgo significativo de ejecución remota de código no autenticado en servidores web vulnerables. Además, el equipo de investigación de seguridad de Martila identificó una vulnerabilidad combinada de omisión de inyección IMAP y falsificación de solicitudes entre sitios (CSRF) ubicada dentro de la funcionalidad de búsqueda de correo. Omisiones de seguridad del lado del cliente El equipo de desarrollo abordó varias vulnerabilidades del lado del cliente que podrían permitir la ejecución o el seguimiento de cargas útiles maliciosas dentro del navegador de la víctima.

Más allá de la extensa lista de correcciones de seguridad, la versión 1.6.14 incluye un parche funcional que resuelve problemas con las conexiones de bases de datos PostgreSQL que utilizan direcciones IPv6. La publicación Las actualizaciones de seguridad de Roundcube Webmail parchean múltiples vulnerabilidades críticas apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗