Introduction
Une faille de sécurité a été découverte dans les versions de Roundcube Webmail inférieures à 1.5.13 et 1.6.13, permettant aux attaquants de contourner le blocage des images distantes via l'utilisation de l'élément SVG feImage. Cette faille peut être exploitée pour tracker l'ouverture des emails.
Contexte Technique
Le problème réside dans la façon dont le sanitizer HTML de Roundcube traite les attributs des éléments SVG. Plus précisément, l'élément feImage et son attribut href ne sont pas correctement traités comme une source d'image, permettant ainsi aux attaquants de charger des images distantes malgré les paramètres de sécurité. Le sanitizer utilise deux fonctions distinctes pour traiter les attributs d'image et les liens, mais l'attribut href de feImage est traité comme un lien et non comme une source d'image.
Analyse et Implications
L'analyse de cette faille montre que les attaquants peuvent créer des images SVG invisibles qui chargent des images distantes lors de leur ouverture, permettant ainsi de tracker l'ouverture des emails. Cela peut avoir des implications importantes en termes de sécurité, car les attaquants peuvent confirmer l'ouverture d'un email, logger l'adresse IP de la victime et effectuer un fingerprinting du navigateur. Les versions de Roundcube Webmail inférieures à 1.5.13 et 1.6.13 sont vulnérables à cette attaque.
Perspective
La correction de cette faille de sécurité a été publiée dans les versions 1.5.13 et 1.6.13 de Roundcube Webmail. Il est essentiel de mettre à jour vers ces versions pour éviter les risques de sécurité associés à cette faille. De plus, il est important de noter que les sanitizers HTML qui gèrent les éléments SVG de manière manuelle peuvent présenter des lacunes similaires, soulignant l'importance d'une mise à jour régulière et d'un test approfondi de la sécurité.