Roundcube Flaws Let Attackers Execute Malicious Scripts
2025/12/19 gbhackers — Roundcube が公表したのは、広く利用されているオープンソース Web メール・ソフトウェア Roundcube に存在する 2件の深刻な脆弱性に対処する重要なセキュリティ・アップデートである。これらの脆弱性を悪用する攻撃者は、悪意のスクリプト実行/機密情報の漏洩を引き起こす可能性があり、このプラットフォームをメール通信に利用する組織/個人にリスクをもたらす。
2025年12月13日に Roundcube Web メールのメンテナーたちは、Roundcube バージョン 1.6/1.5 LTS (長期サポート) をリリースし、この問題に対処した。新バージョンである 1.6.12/1.5.12 は、報告された問題を修正し、メール環境を潜在的な悪用から保護するものだ。管理者たちに強く求められるのは、インストール済みの製品へと速やかにアップデートすることである。
発見された脆弱性
今回のアップデートで修正された最も深刻な脆弱性は、クロスサイト・スクリプティング (XSS) の欠陥である。この脆弱性 CVE-N/A は、ソフトウェアが SVG (Scalable Vector Graphics) 画像を処理する方法に起因し、とりわけ animate タグの扱いに関連する。
#現時点で CVE-ID 未発番のため便宜上 N/A と表記
2件目の脆弱性 CVE-N/A は、HTML スタイル・サニタイザーに存在する情報漏洩の欠陥に起因する。このコンポーネントは、HTML メールをクリーンアップし、そこに含まれる有害なコードをサニタイズする。しかし、このサニタイザーをバイパスした攻撃者が、秘匿されるべきデータを漏洩させる可能性が生じている。
一般的に、情報漏洩はリモート・コード実行ほど深刻ではないとされるが、他の脆弱性攻撃と連鎖することで、さらなるシステム侵害を引き起こす。なお、この問題は somerandomdev により報告された。
Roundcube 1.6.x/1.5.x ブランチを実行している、すべての本番環境において強く推奨されるのは、最新バージョン 1.6.12/1.5.12 への速やかなアップデートである。
なお、Roundcube の公式 GitHub リリース・ページでは、完全な変更ログとダウンロード・ファイルが、管理者向けに提供されている。この Web メール・クライアントは、組織の内部ネットワークへ向けた公開エントリー・ポイントとして悪用されるケースが多いため、パッチを適用した状態の維持が不可欠である。
これらのパッチが適用されない場合には、メール・アカウントや機密性の高い通信を標的とする、XSS 攻撃に対して脆弱な状態に置かれてしまう。
Roundcube に2つの脆弱性が発見され修正されました。1つ目の脆弱性は、画像形式の一種である SVG データの扱いに起因する問題です。アニメーションを制御するタグの処理に不備があったことで、本来は動くはずのない悪意のスクリプトが実行されてしまいます。2つ目の脆弱性は、メールに含まれる有害なコードを取り除くサニタイザーにおける欠陥に起因します。HTML のスタイル情報を整理する過程において、特定の条件下で制限がバイパスされ、大切な情報が読み取られる恐れがありました。なお、これらの脆弱性には、CVE-ID が割り当てられていません。そのため、本文中では “CVE-N/A” と表記しています。ご利用のチームは、ご注意ください。よろしければ、Roundcube での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.