RainLoop Webメールのパッチが適用されていないバグにより、ハッカーはすべての電子メールにアクセスできる可能性があります

「コードの脆弱性[…]は、RainLoopをメールクライアントとして使用している被害者に悪意のある電子メールを送信することで、攻撃者によって簡単に悪用される可能性があります」と、SonarSourceのセキュリティ研究者SimonScannellは今週公開されたレポートで述べています。
CVE-2022-29360として追跡されているこの欠陥は、2021年5月7日にリリースされたRainLoop（v1.16.0）の最新バージョンに影響を与える保存されたクロスサイトスクリプティング（XSS）の脆弱性に関連しています。
デフォルト構成で実行されているすべてのRainLoopインストールに影響を与えるこの欠陥を利用する攻撃チェーンは、潜在的な被害者に送信される特別に細工された電子メールの形をとることがあり、表示されると、ユーザーの操作を必要とせずにブラウザーで悪意のあるJavaScriptペイロードを実行します。
パッチがない場合、SonarSourceは、SnappyMailと呼ばれるRainLoopフォークに移行することをユーザーに推奨しています。