Webmail

Die Schwachstelle steckt in Roundcube Webmail, einer über den Browser bedienbaren E-Mail-Anwendung. Verantwortlich ist die Komponente, die eingehende HTML-Nachrichten vor der Anzeige bereinigen soll: Diese Filterung lässt sich umgehen, indem ein Angreifer eine E-Mail im HTML-Format mit einem präparierten SVG-Dokument verschickt. Beim Öffnen der Nachricht wird der eingeschleuste Code nicht entfernt, sondern im Browser des Opfers ausgeführt. Es handelt sich um eine persistente (gespeicherte) Cross-Site-Scripting-Lücke: Der Schadcode steckt dauerhaft in der gespeicherten Nachricht und wirkt jedes Mal, wenn sie betrachtet wird. So kann ein entfernter Angreifer beliebigen JavaScript-Code im Kontext der Sitzung des angemeldeten Benutzers ausführen – ohne eigene Zugangsdaten, allein durch das Zusenden einer Mail. Betroffen sind alle Nutzer einer verwundbaren Roundcube-Installation, deren Postfächer über die Weboberfläche aufgerufen werden.