Roundcube の脆弱性 CVE-2026-25916 が FIX:サニタイザーの不備によるプライバシー侵害

Roundcube Webmail Vulnerability Let Attackers Track Email Opens

2026/02/09 CyberSecurityNews — Roundcube が公開したのは、プライバシー・バイパスの脆弱性に対処するための、重要なセキュリティ更新である。この世界で最も広く利用されている、オープンソース Web メール・ソリューションに存在する脆弱性 CVE-2026-25916 について、NULL CATHEDRAL が詳細を解説している。”リモート画像のブロック” を、ユーザーが明示的にコンフィグ (構成) している場合であっても、この脆弱性を悪用する攻撃者は、リモート画像を読み込ませ、メールの開封を追跡できるという問題が生じている。

この脆弱性が影響を及ぼす範囲は、Roundcube Webmail のバージョン 1.5.13 未満および 1.6.13 未満である。すでに Roundcube のメンテナーは 1.5.13/1.6.13 をリリースし、この問題に対処している。なお、この脆弱性は、2026年2月8日に公開されている。

この問題の中核は、HTML サニタイザー rcube_washtml にある。このコンポーネントは、Cross-Site Scripting (XSS) やプライバシー漏洩を防ぐために、受信メール・コンテンツのクリーニングを担っている。

ユーザーが allow_remote を “false” に設定すると、サニタイザーは外部リソースを読み込むことが前提となっている HTML 属性を検査する。具体的には、<img>/<video>/<use> などのタグに対して is_image_attribute() 関数が、ネットワーク要求を発生させ得る属性 (src や href など) を確認する。該当した場合には、URL が外部リンクではないことを確認するためにサニタイズされる。

その一方で、標準的なリンク (例えば <a href>) は異なる経路で処理される。これらは wash_link() という関数を通過し、ユーザーが正当なハイパーリンクをクリックできるよう、HTTP および HTTPS の URL が許可される。

この脆弱性は、サニタイザーが SVG 要素 <feImage> を画像コンテナとして分類できていなかったことに起因する。

攻撃メカニズム

<feImage> は SVG フィルタ・プリミティブであり、href 属性を用いて外部ソースから画像データを取得する。rcube_washtml は is_image_attribute() のブロック対象に <feImage> を含めていないため、サニタイザーは当該 href を実質的に通常のクリック可能リンクとして扱っていたと、NULL CATHEDRAL のレポートは述べている。

その結果、悪意の URL は wash_link() に渡され、外部接続が許可されてしまう。

この脆弱性を悪用する攻撃者は、不可視の 1×1 SVG をメールに埋め込むことができる。SVG 内で <feImage> を用いたフィルタ定義を行うと、メールがレンダリングされた瞬間に、攻撃者が制御するサーバへの GET リクエストが自動的に発生する。

このバイパスは、追跡ピクセルを防ぐためにユーザーが依存しているプライバシー保護を無効化する。この脆弱性を悪用する攻撃者は、以下のアクションを実行できる。

  • メール・アドレスが有効であることの確認
  • 受信者の IP アドレスの記録
  • 被害者のブラウザおよびデバイスのフィンガープリンティング

今回の修正はコミット 26d7677 で実装され、is_image_attribute() 内の正規表現ロジックが更新された。それにより、サニタイザーが href 属性を検査する際に、image や use と並んで feimage を明示的に認識するようになった。したがって、SVG フィルタを介して外部リソースを読み込もうとする試みは、厳格な画像サニタイズ・ルールにより確実に検知/遮断される。

自己ホスト型の Roundcube を運用する管理者にとって必要なことは、バージョン 1.5.13/1.6.13 へと速やかにアップデートし、ユーザー・プライバシーを保護することである。

オープンソースの Web メールソフト Roundcube に、ユーザーのプライバシー設定をすり抜けてメールの開封を追跡できてしまう脆弱性が発見されました。この問題の原因は、メール内の危険な要素を取り除く HTMLサニタイザーという機能の欠陥により、特定の画像の読み込みを阻止できなかったことにあります。Roundcubeには外部画像の読み込みをブロックする設定がありますが、SVG 形式の画像内で使われる <feImage> という特殊なタグが画像として認識されていませんでした。そのため、このタグに含まれる URL が、クリックが必要な通常のリンクとして誤って処理され、メールを開いた瞬間に、外部サーバへの通信が自動的に発生するという状態になっています。ご利用のチームは、ご注意ください。よろしければ、Roundcube での検索結果も、ご参照ください。