Mailcow Patches Password Reset Poisoning Vulnerability (CVE-2025-25198)
2025/02/16 SecurityOnline — 人気の OSS メール・サーバ・スイート Mailcow が公表したのは、攻撃者によるユーザー・アカウントの乗っ取りが生じ得る、深刻な脆弱性に対処するパッチのリリースである。この脆弱性 CVE-2025-25198 (CVSS:7.1:High) は、パスワード・リセット・ポイズニングに関係するものだという。
自己ホスト型のメール・インフラにおけるセットアップと管理の簡素化で知られる Mailcow は、Postfix/Dovecot/SOGo などのコンポーネントに依存し、デプロイメントを容易にするために Docker を利用している。
この Mailcow で、先日に発生した脆弱性により、パスワード・リセット・メカニズムの弱点が露呈した。この脆弱性は、Mailcow がパスワード・リセットをリクエストする際の、Host HTTP ヘッダーの処理方法に存在する。公式のセキュリティ・アドバイザリには、「Mailcow のパスワード・リセット機能の脆弱性を悪用する攻撃者は、Host HTTP ヘッダーを操作し、攻撃者が制御するドメインを指し示す、パスワード・リセット・リンクを生成できる」と記されている。
この悪意の操作により攻撃者は、正当性を装うパスワード・リセット・リンクを作成し、フィッシング Web サイトへとユーザーを誘導できる。この不正なリンクをユーザーがクリックすると、新しいパスワードを攻撃者に提供することになり、アカウントを完全に乗っ取られる可能性が生じる。
この脆弱性は、Amnesty International Security Lab の Donncha O Cearbhaill により、正規の手続きを踏んで公開されたものだ。
すでに Mailcow の開発チームは、パッチ 2025-01a をリリースし、この問題に対処している。ユーザーに対して強く推奨されるのは、可能な限り早急にアップデートを適用し、このリスクを軽減することだ。
速やかな更新が不可能なケースに備えて、一時的な回避策も提供されている。このアドバイザリでは、パスワード・リセット機能を完全に無効化することが推奨されている。具体的に言うと、Mailcow インターフェース内で、System -> Configuration -> Options -> Password Settings へと移動し、”Notification email sender” と “Notification email subject” をクリアすることで達成される。
Mailcow の脆弱性 CVE-2025-25198 が FIX しました。この脆弱性が悪用されると、アカウント乗っ取りに至る恐れがあるとのことですので、ご利用のチームは、ご注意ください。Mailcow については、2025/02/01 にも、「mailcow メールサーバの脆弱性 CVE-2024-56529 が FIX:Web Panel への不正アクセス」という記事をポストしています。よろしければ、Mailcow で検索と併せて、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.