Lỗ hổng Roundcube nghiêm trọng: Nguy cơ theo dõi email khẩn cấp

Roundcube, một trong những giải pháp webmail mã nguồn mở phổ biến nhất thế giới, vừa công bố các bản cập nhật bảo mật quan trọng để khắc phục một lỗ hổng Roundcube nghiêm trọng cho phép bỏ qua cơ chế bảo vệ quyền riêng tư.

Tổng Quan về Lỗ Hổng Bỏ Qua Quyền Riêng Tư trong Roundcube

Lỗ hổng này, được khám phá và công bố chi tiết bởi NULL CATHEDRAL, cho phép kẻ tấn công tải hình ảnh từ xa và theo dõi việc mở email của người dùng. Điều này xảy ra ngay cả khi người dùng đã cấu hình rõ ràng cài đặt của họ để “Chặn hình ảnh từ xa”.

Đây là một lỗ hổng CVE tiềm ẩn đáng chú ý, ảnh hưởng đến các phiên bản Roundcube Webmail trước 1.5.13 và tất cả các phiên bản 1.6.x trước 1.6.13. Các nhà phát triển đã phát hành phiên bản 1.5.13 và 1.6.13 để vá lỗi này, được công bố công khai vào ngày 8 tháng 2 năm 2026.

Phân Tích Kỹ Thuật Cơ Chế Vượt Qua Bảo Vệ

Cốt lõi của vấn đề nằm ở thành phần HTML sanitizer của Roundcube, có tên là rcube_washtml. Thành phần này có trách nhiệm làm sạch nội dung email đến để ngăn chặn các cuộc tấn công Cross-Site Scripting (XSS) và các sự cố rò rỉ quyền riêng tư.

Cách Hoạt Động của Sanitizer

Khi người dùng đặt tùy chọn allow_remote thành false, trình sanitizer sẽ chặn các thuộc tính HTML được biết là tải tài nguyên bên ngoài. Cụ thể, hàm is_image_attribute() kiểm tra các thẻ như <img>, <video> và <use> để tìm các thuộc tính có thể kích hoạt yêu cầu mạng (ví dụ: src hoặc href).

Nếu khớp, URL sẽ được làm sạch để đảm bảo nó không phải là tài nguyên bên ngoài. Tuy nhiên, các liên kết tiêu chuẩn (chẳng hạn như <a href>) được xử lý khác. Chúng đi qua một hàm gọi là wash_link(), hàm này cho phép các URL HTTP và HTTPS để người dùng có thể nhấp vào các siêu liên kết hợp lệ.

Điểm Yếu trong Xử Lý Thẻ SVG feImage

Lỗ hổng Roundcube phát sinh do sanitizer không phân loại phần tử SVG <feImage> là một vùng chứa hình ảnh. <feImage> là một primitive bộ lọc SVG dùng để tìm nạp dữ liệu hình ảnh từ một nguồn bên ngoài bằng thuộc tính href.

Vì rcube_washtml không bao gồm feimage trong danh sách chặn của hàm is_image_attribute(), trình sanitizer đã xử lý thuộc tính href của <feImage> về cơ bản như một liên kết có thể nhấp tiêu chuẩn. Điều này được ghi nhận trong báo cáo của NULL CATHEDRAL tại nullcathedral.com.

Do đó, URL độc hại đã được chuyển đến hàm wash_link(), cho phép kết nối bên ngoài mà không bị chặn.

Phương Thức Khai Thác và Tác Động Tiềm Tàng

Kẻ tấn công có thể khai thác rủi ro bảo mật này bằng cách nhúng một ảnh SVG 1×1 vô hình vào email. Bên trong SVG, một định nghĩa bộ lọc sử dụng <feImage> sẽ tự động kích hoạt một yêu cầu GET đến một máy chủ do kẻ tấn công kiểm soát ngay sau khi email được hiển thị.

Kỹ thuật vượt qua này vô hiệu hóa các biện pháp bảo vệ quyền riêng tư mà người dùng tin tưởng để ngăn chặn các pixel theo dõi. Bằng cách khai thác lỗ hổng Roundcube này, các tác nhân đe dọa có thể:

• Xác định rằng một email đã được mở, ngay cả khi người dùng đã chặn hình ảnh từ xa.
• Thu thập địa chỉ IP của người nhận, vị trí địa lý và các thông tin liên quan khác.
• Xác nhận tính hợp lệ của địa chỉ email cho các chiến dịch spam hoặc tấn công lừa đảo trong tương lai.
• Xây dựng hồ sơ người dùng dựa trên thời gian mở email và địa chỉ IP.

Các Phiên Bản Bị Ảnh Hưởng và Giải Pháp Vá Lỗi

Như đã đề cập, các phiên bản Roundcube Webmail bị ảnh hưởng bao gồm tất cả các bản phát hành trước 1.5.13 và tất cả các phiên bản 1.6.x trước 1.6.13. Để giải quyết lỗ hổng Roundcube này, các phiên bản đã được phát hành là 1.5.13 và 1.6.13.

Chi Tiết về Bản Vá

Bản vá được triển khai trong commit 26d7677. Bản cập nhật này tập trung vào logic biểu thức chính quy (regex) trong hàm is_image_attribute(). Giờ đây, trình sanitizer nhận diện rõ ràng feimage cùng với image và use khi kiểm tra các thuộc tính href.

Điều này đảm bảo rằng mọi nỗ lực tải tài nguyên bên ngoài thông qua các bộ lọc SVG đều bị phát hiện và chặn bởi các quy tắc làm sạch hình ảnh nghiêm ngặt. Đây là một bản vá bảo mật quan trọng, đảm bảo tính toàn vẹn của chức năng bảo vệ quyền riêng tư của Roundcube.

Khuyến Nghị Bảo Mật và Hành Động Cần Thiết

Các quản trị viên đang vận hành các phiên bản Roundcube tự host được khuyến nghị nâng cấp lên phiên bản 1.5.13 hoặc 1.6.13 ngay lập tức để bảo vệ quyền riêng tư của người dùng và giảm thiểu rủi ro bảo mật liên quan đến lỗ hổng Roundcube này.

Việc cập nhật kịp thời là yếu tố then chốt để đảm bảo rằng hệ thống webmail của bạn được bảo vệ trước các phương thức theo dõi email tinh vi và các mối đe dọa tiềm ẩn khác. Duy trì các bản vá bảo mật định kỳ là thực tiễn tốt nhất để duy trì an toàn thông tin.