Webmail

Die Schwachstelle betrifft den Webmail-Dienst Roundcube, also die browserbasierte Oberfläche, über die Nutzer ihre E-Mails lesen und schreiben. Es handelt sich um eine Cross-Site-Scripting-Lücke (XSS): Roundcube verarbeitet die Animations-Attribute von eingebetteten SVG-Grafiken nicht sicher. Ein Angreifer kann darüber Schadcode in einer E-Mail unterbringen, der beim Anzeigen der Nachricht im Browser des Opfers als JavaScript ausgeführt wird. Der Angriff lässt sich aus der Ferne durchführen – es genügt, dem Opfer eine präparierte E-Mail zu senden, die dieses dann in seinem Postfach öffnet. Im Kontext der laufenden Webmail-Sitzung kann der eingeschleuste Code etwa Sitzungsdaten auslesen, Nachrichten manipulieren oder weitere Aktionen im Namen des angemeldeten Nutzers auslösen. Betroffen sind Betreiber und Anwender von Roundcube Webmail, das in vielen Hosting-Umgebungen als Standard-Webmailer eingesetzt wird.