Roundcube Webmail

Die Schwachstelle steckt in der Webmail-Anwendung Roundcube Webmail, konkret in der Verarbeitung von Verweis-Elementen für Links innerhalb der Funktion linkref_addindex in der Datei rcube_string_replacer.php. Es handelt sich um ein Cross-Site-Scripting-Problem: Ein Angreifer versendet eine ganz gewöhnliche Klartext-E-Mail, in deren Link-Referenz-Element JavaScript-Code eingebettet ist. Roundcube wertet dieses Element beim Anzeigen der Nachricht fehlerhaft aus, sodass der eingeschleuste Code nicht als harmloser Text behandelt, sondern im Browser des Empfängers ausgeführt wird. Für einen erfolgreichen Angriff genügt es, dass das Opfer die manipulierte E-Mail in seinem Webmail-Postfach öffnet. Im Kontext der laufenden Sitzung kann der Schadcode dann etwa auf Nachrichten zugreifen, Aktionen im Namen des Nutzers auslösen oder Sitzungsdaten abgreifen. Betroffen sind Betreiber und Nutzer von Roundcube-Webmail-Installationen, da sich der Angriff allein durch das Zustellen und Lesen einer E-Mail auslösen lässt.