Roundcube Webmail 1.6.14 がリリース：任意ファイル書き込みなど複数の深刻な欠陥を修正

Roundcube Webmail Security Updates Patches Multiple Critical Vulnerabilities

2026/03/24 CyberSecurityNews — Roundcube Webmail が公開したバージョン 1.6.14 は、1.6.x 系列における複数の深刻な脆弱性に対処する重要なセキュリティ・パッチを提供するものだ。今回のリリースでは、認証前の任意ファイル書き込み／クロスサイト・スクリプティング (XSS) ／サーバサイド・リクエスト・フォージェリ (SSRF) などの、複雑なセキュリティ問題が修正されている。システム管理者に強く推奨されるのは、この更新プログラムを速やかに適用し、脅威アクターによる悪用から通信インフラを保護することだ。

修正された重大な脆弱性

今回のリリースで修正された最も深刻な脆弱性は、セキュリティ研究者 y0us により発見された、認証前の任意ファイル書き込みの脆弱性である。この脆弱性は、Redis／Memcached のセッション・ハンドラにおける安全でないデシリアライズに起因し、認証を必要としないため、リモート・コード実行のリスクが引き起こされる。悪用に成功した攻撃者は、アプリケーション環境の完全な制御を奪う可能性を得る。

このリリースでは、Georgios Tsimpidas により報告された、SSRF／情報漏洩の脆弱性も修正されている。この脆弱性を悪用する攻撃者は、スタイルシート・リンクを介してローカル・ネットワーク上のホストへのアクセスを可能にする。それにより、通常は外部から遮断されている内部ネットワーク構成の把握や、内部サービスからの機密データ抽出が可能となる。

バージョン 1.6.14 では、flydragon777 により報告された、アカウント管理機構における深刻なロジック欠陥も修正されている。この脆弱性が悪用されると、旧パスワード検証のバイパスと、パスワード変更が可能になる。この欠陥がセッション乗っ取りの問題と連鎖すると、アカウント・セキュリティが著しく低下し、アカウント権限の完全な奪取につながる可能性がある。

さらに、メール検索機能における IMAP インジェクション／クロスサイト・リクエスト・フォージェリ (CSRF) の脆弱性が、Martila Security Research Team により発見されている。この欠陥を悪用する攻撃者は、バックエンドのメール・サーバ・コマンドを操作し、認証済みユーザーを装うことで、不正な操作を可能にする。

クライアント側のセキュリティ・バイパス

Roundcube の開発チームは、ブラウザ上で悪意のペイロード実行やトラッキングを許してしまう、複数のクライアント・サイドの脆弱性にも対処した。HTML 添付ファイル・プレビュー機能に存在する XSS の脆弱性は、Aikido Security により修正／報告された。

また、リモート画像のブロックを回避する、複数の悪意の手法も修正された。細工された SVG animate 属性や body の background 属性を悪用するバイパスの手法が、nullcathedral により報告された。リモート画像のブロックは、トラッキング・ピクセルによるメール開封確認を防ぐための重要なプライバシー機能である。研究者たちは、CSS の important ルールを悪用する、固定位置制御のバイパスも報告しており、この問題も修正された。

その他の更新

このリリースには、IPv6 利用時の PostgreSQL データベース接続に関する不具合の修正も含まれる。Roundcube 開発チームは、このバージョンを高い安定性を持つと評価しており、1.6.x 系列を運用しているすべての環境における、速やかなアップデートを推奨している。

システム管理者にとって必要なことは、予期しないデータ損失を防止するために、アップグレード前にデータベースおよびアプリケーション・データの完全バックアップを実施することである。更新パッケージ／暗号署名／ソース・コードは、Roundcube 公式 GitHub リポジトリから取得可能である。

今回の脆弱性 CVE-2025-24708／CVE-2025-24709 などの主な原因は、セッション・ハンドラにおけるデータの不適切なデシリアライズ処理にあります。それにより、認証を受けていない第三者が悪意の命令を送り込み、サーバ上で任意のファイルを操作できる状態になっていました。また、パスワード変更時のロジック不備や、外部リソースの読み込み制限の不足といった、実装上の細かなミスが重なったことも、被害を広げる要因になり得ます。ご利用のチームは、ご注意ください。よろしければ、Roundcube での検索も、ご参照ください。