Webmail

Die Schwachstelle betrifft Roundcube Webmail, eine über den Browser bedienbare Oberfläche zum Lesen und Schreiben von E-Mails. Es handelt sich um eine Cross-Site-Scripting-Lücke (XSS): Ein Angreifer kann fremden Schadcode so einschleusen, dass dieser im Browser des Opfers im Kontext der Webmail-Sitzung ausgeführt wird. Der Einfallsweg ist ein SVG-Dokument, also eine Vektorgrafik, in der ein bestimmtes Animations-Element (das animate-Tag) zur Code-Ausführung missbraucht wird. Da Roundcube eingehende Nachrichten und ihre Anhänge darstellt, genügt es typischerweise, dass das Opfer eine präparierte Nachricht öffnet, in die eine solche manipulierte SVG-Grafik eingebettet ist. Auf diese Weise kann der Angreifer im Namen des angemeldeten Nutzers agieren, etwa Sitzungsdaten auslesen, E-Mail-Inhalte abgreifen oder Aktionen im Postfach auslösen. Betroffen sind Betreiber und Nutzer der Webmail-Oberfläche.