Webmail

Die Schwachstelle steckt in der Webmail-Anwendung Roundcube, mit der sich E-Mails über den Browser lesen und schreiben lassen. Ursache ist die Art, wie eine interne Komponente zur Ersetzung von Zeichenketten Links in Nachrichten verarbeitet. Ein Angreifer kann eine reine Text-E-Mail mit präparierten Links versenden; beim Anzeigen der Nachricht schleust er darüber Schadcode in die Webmail-Oberfläche ein, der im Browser des Opfers ausgeführt wird. Da es sich um eine persistente Form des Cross-Site-Scripting handelt, ist der eingebettete Code Teil der gespeicherten Nachricht und wird ausgelöst, sobald das Opfer die E-Mail öffnet – ein zusätzliches Anklicken ist nicht zwingend nötig. Auf diesem Weg lassen sich Informationen aus der Sitzung des Opfers abgreifen. Betroffen sind Nutzer und Betreiber von Roundcube, das in vielen Hosting-Umgebungen als Standard-Webmailer eingesetzt wird.