Kritische Sicherheitslücke in Roundcube Webmail ermöglicht SQL-Injection-Angriffe

Sie geht auf eine unzureichende Eingabesäuberung in einer preg_replace-Funktion zurück, wodurch Angreifer Schutzmechanismen gegen Backslash-Escape-Umgehungen umgehen können.

Diese Lücke ermöglicht es Bedrohungsakteuren, bösartige SQL-Abfragen vor der Authentifizierung einzufügen und dadurch sensible E-Mail-Daten, Benutzerzugangsdaten sowie Systemkonfigurationen preiszugeben.

Sicherheitsexperten warnen, dass SQL-Injection-Schwachstellen vor der Authentifizierung besonders gefährlich sind, da sie keinen gültigen Benutzerzugriff erfordern. In realen Angriffen könnten Angreifer dieses Problem ausnutzen, um den Inhalt ächern zu extrahieren, Privilegien zu eskalieren oder tiefer in die interne Infrastruktur vorzudringen.

Sicherheitslage und Risiko

Roundcube Webmail-Schwachstelle Neben dem SQL-Injection-Fehler adressierte Roundcube in den Versionen 1.6.16 und 1.7.1 mehrere weitere Schwachstellen mit hohem Auswirkungspotenzial.

Dazu gehören gespeicherte Cross-Site-Scripting (XSS)- und HTML/CSS-Injection-Schwachstellen, die es Angreifern ermöglichen könnten, bösartige Skripte über manipulierte E-Mail-Inhalte oder Entwurfsmeldungen auszuführen.

Eine weitere bedeutende Korrektur betrifft einen Umgehungsweg für CSS-Injection mittels SVG-Elementen, insbesondere über das ` `-Tag, das Style-Attribute manipuliert. Dies könnte Angreifern erlauben, Sanierungsfilter zu umgehen und unbefugten Code in der Browser-Sitzung eines Opfers auszuführen.

Technischer Hintergrund

Schutzmaßnahmen gegen Server-Side Request Forgery (SSRF) wurden ebenfalls verstärkt. Forscher identifizierten Umgehungstechniken mit speziell konstruierten lokalen URLs, die den Zugriff auf eingeschränkte interne Ressourcen ermöglichten.

Zusätzlich wurden Schwachstellen in den Fernbildblockierungsmechanismen behoben, die Angreifern ermöglichten, CSS-Variablen auszunutzen, um externe Inhalte zu laden und Benutzer möglicherweise zu verfolgen. Ein besonders schwerwiegender Befund betraf die willkürliche Löschung Redis- oder Memcache-Konfigurationen.

Diese Sicherheitslücke könnte es Angreifern ermöglichen, Sitzungsdaten zu manipulieren und kritische Dateien auf dem Server zu löschen.

Einordnung fuer Autofahrer

Eine weitere Reparatur entfernte die unsichere Code-Auswertungs-Funktionalität aus der LDAP-Autowerte-Option und eliminierte damit einen potenziellen Code-Injektionsvektor, der in bestimmten Konfigurationen zur Fernausführung führen könnte.

Die Roundcube-Wartungsteam hat gepatchte Versionen 1.6.16 und 1.7.1 veröffentlicht und empfiehlt dringend sofortige Updates für alle Produktionsumgebungen. Angesichts der Kombination aus Pre-Auth-SQL-Injection und mehreren Umgehungs-Techniken stellen ungepatchte Systeme eine erhebliche Angriffsfläche dar.

Organisationen, die Roundcube in Shared-Hosting-Umgebungen, Unternehmens-E-Mail-Systemen oder Cloud-Deployments einsetzen, sollten die Priorität auf das Patchen ücken und die Überprüfung der Logs auf verdächtige Aktivitäten legen.

Die Überwachung, ungewöhnlichen HTTP-Anfragen und unbefugten

Die Überwachung, ungewöhnlichen HTTP-Anfragen und unbefugten Dateioperationen kann dazu beitragen, potenzielle Ausnutzungsversuche zu erkennen.

Da Webmail-Plattformen weiterhin ein Hauptziel für Angreifer darstellen, unterstreicht dieser Vorfall die Bedeutung einer zeitnahen Patchverwaltung und sicherer Konfigurationspraktiken, um Datenpannen und Dienstbeeinträchtigungen zu verhindern. Abi ist Sicherheitsredakteurin und Reporterin bei