Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat eine Sicherheitslücke mittlerer Schwere im Roundcube E-Mail-Software in ihren Known Exploited Vulnerabilities (KEV) Katalog aufgenommen. Die Sicherheitslücke, die als CVE-2023-43770 (CVSS-Score: 6.1) verfolgt wird, betrifft einen Cross-Site Scripting (XSS) Fehler, der aus der Handhabung von Linkverweisen in Klartextnachrichten resultiert. CISA erklärte: „Roundcube Webmail enthält eine persistente Cross-Site Scripting (XSS) Sicherheitslücke, die zu einer Offenlegung von Informationen über bösartige Linkverweise in Klartextnachrichten führen kann.“
Gemäß einer Beschreibung des Fehlers in der National Vulnerability Database (NVD) des National Institute of Standards and Technology (NIST) betrifft die Sicherheitslücke Roundcube Versionen vor 1.4.14, 1.5.x vor 1.5.4 und 1.6.x vor 1.6.3. Die Lücke wurde von den Roundcube-Entwicklern mit Version 1.6.3 behoben, die am 15. September 2023 veröffentlicht wurde. Der Sicherheitsforscher Niraj Shivtarkar von Zscaler wird für die Entdeckung und Berichterstattung der Sicherheitslücke anerkannt.
Es ist derzeit nicht bekannt, wie die Sicherheitslücke in freier Wildbahn ausgenutzt wird, aber in der Vergangenheit wurden Schwachstellen in dem webbasierten E-Mail-Client von russischen Bedrohungsakteuren wie APT28 und Winter Vivern weaponisiert.
Die US-Behörden des Federal Civilian Executive Branch (FCEB) sind verpflichtet, bis zum 4. März 2024 die vom Hersteller bereitgestellten Fixes anzuwenden, um ihre Netzwerke vor potenziellen Bedrohungen zu schützen.