RainLoop Webmail中未修补的漏洞可让黑客访问所有电子邮件

开源的RainLoop基于web的电子邮件客户端中发现了一个未修补的高严重性安全漏洞，可以将其武器化，从受害者的收件箱中窃取电子邮件。

“代码漏洞[…]SonarSource安全研究员西蒙·斯坎内尔（SimonScannell）在本周发布的一份报告中表示：“攻击者可以通过向使用RainLoop作为邮件客户端的受害者发送恶意电子邮件，轻松利用该漏洞。”。

“当受害者查看电子邮件时，攻击者可以完全控制受害者的会话，并可以窃取他们的任何电子邮件，包括包含密码、文档和密码重置链接等高度敏感信息的电子邮件。”

该漏洞追踪为CVE-2022-29360，与一个存储的跨站点脚本（XSS）漏洞有关，该漏洞影响了2021 5月7日发布的最新版本RainLoop（v1.16.0）。

当恶意脚本通过用户输入（例如注释字段）直接注入目标web应用程序的服务器时，就会出现存储的XSS缺陷，也称为持久XSS，该用户输入永久存储在数据库中，随后会提供给其他用户。

影响所有在默认配置下运行的RainLoop安装，利用该漏洞的攻击链可能会以精心编制的电子邮件的形式发送给潜在受害者，当查看时，该电子邮件会在浏览器中执行恶意JavaScript负载，而无需任何用户交互。

SonarSource在其披露时间表中表示，它于2021 11月30日将该漏洞通知了RainLoop的维护人员，该软件制造商已经四个多月没有发布修复程序。

瑞士代码质量和安全公司于2021 12月6日在GitHub上提出的一个问题至今仍未解决。我们已经联系了RainLoop征求意见，如果得到回复，我们将更新报道。

在没有补丁的情况下，SonarSource建议用户迁移到名为SnappyMail的RainLoop fork，它是主动维护的，不受安全问题的影响。