Roundcube Webmail

Die Schwachstelle betrifft Roundcube Webmail, eine weit verbreitete webbasierte Anwendung zum Lesen und Verwalten von E-Mails im Browser. Der Fehler liegt in der Suchfunktion der Software: Über die Such-Parameter, mit denen Nutzer ihre Nachrichten durchsuchen, lassen sich Eingaben so manipulieren, dass sie nicht als reiner Suchtext behandelt, sondern in die Datenbankabfragen der Anwendung eingeschleust werden. Es handelt sich also um eine SQL-Injection: Ein Angreifer kann über präparierte Sucheingaben eigene Datenbankbefehle unterschieben. Auf diesem Weg lässt sich potenziell auf Inhalte der Datenbank zugreifen, die eigentlich nicht für ihn bestimmt sind – etwa Daten anderer Postfächer –, oder gespeicherte Informationen verändern. Betroffen sind Betreiber, die Roundcube Webmail einsetzen, um E-Mail-Zugriff über den Browser bereitzustellen. Da Webmail-Oberflächen typischerweise über das Internet erreichbar sind, ist die Suchfunktion ein exponierter Angriffspunkt.