Roundcube Webmail Security Update Patches Critical Zero-Click XSS and SSRF Bypass Flaws
2026/07/10 gbhackers — Roundcube が、複数の脆弱性に対処するバージョン 1.7.2 をリリースした。このバージョンは、セキュリティに重点を置いた更新であり、ゼロクリックの蓄積型クロスサイト・スクリプティング (XSS) 欠陥およびサーバサイド・リクエスト・フォージェリ (SSRF) バイパスなどを修正している。このアップデートは、さまざまなセキュリティ研究者からの開示を受けて開発されたものであり、すべての本番デプロイメントへの適用が強く推奨される。

Roundcube Webmail のセキュリティ脆弱性
この更新で最も深刻な脆弱性 CVE-2026-54433 は、Roundcube のプレーンテキスト・メール・レンダリングに影響を及ぼすゼロクリックの蓄積型 XSS の欠陥である。
この欠陥を突く攻撃者は、メール内に悪意のある JavaScript を注入し、ユーザー操作を必要とせずに、表示時に自動的に実行できる。ユーザーのクリックに依存しない悪用であるため、セッション・ハイジャック/認証情報の窃取/被害者の Web メールセッション内での任意アクションなどのリスクが大幅に高まる。
もう 1 つの高深刻度の脆弱性 CVE-2026-54432 は、添付ファイル検証の警告ページにおいて、添付ファイルの MIME タイプが適切にサニタイズされないことでトリガーされる、蓄積型 XSS の欠陥である。入力検証をバイパスする、悪意の添付ファイルを作成する攻撃者は、ユーザーが警告プロンプトを操作する際にスクリプト実行を引き起こせる。
これらの XSS 脆弱性に加えて、このアップデートでは、新たに特定された 2 つの SSRF バイパス手法も解決されている。これらの脆弱性を悪用する攻撃者は、URL 解析ロジックを操作し、アクセスが制限された内部ネットワーク・リソースへと到達できる。
SSRF 脆弱性は、Web メール環境において特に危険である。攻撃者による内部サービスへピボットや、バックエンドシステムからの機密性の高いメタデータの窃取などが、引き起こされる可能性があるためである。
このリリースでは、セッションに注入されたユーザー名に起因する、password プラグインにおける複数のセキュリティ上の弱点も対処されている。これらの問題により、特定の状況下において、不正なパスワード変更または権限昇格が引き起こされる可能性がある。
さらに、TNEF (winmail.dat) 添付ファイル内の細工された圧縮 RTF データに起因する、サービス拒否 (DoS) 脆弱性も修正されている。この脆弱性が悪用されると、過剰なリソース消費またはサービス中断につながる可能性がある。それに加えて、TNEF デコーダにおける無限ループのバグにもパッチが適用され、メール解析中のサービス・ハングが防止された。
一連のセキュリティ・パッチに加えて、Roundcube 1.7.2 には、複数の安定性およびパフォーマンス改善が含まれる。これらの改善には、”static.php” ハンドラの修正/OAuth claim 処理の改善/Range リクエスト処理の修正/vCard インポート/セッションストレージの挙動/Imagick 一時ファイル処理に影響するバグ修正などが含まれる。
メンテナたちは、バージョン 1.7.2 を安定版と位置付けており、管理者に対して直ちにアップグレードするよう促している。本番環境への更新時にユーザーに推奨されるのは、デプロイ前にコンフィグとデータをバックアップすることである。
現実的な悪用シナリオが、このリスクを浮き彫りにしている。最初に攻撃者は、悪意のペイロードを埋め込んだメールを送信する。受信者が Roundcube で、そのメッセージを開くと、ゼロクリック XSS が自動的に実行され、攻撃者は秘密裏にセッションをハイジャックし、メール・ボックスの内容へのアクセスを達成する。
エンタープライズ環境およびホスティング環境で広く利用される Roundcube であるため、これらの脆弱性は重大な脅威となる。潜在的な攻撃を軽減するには、迅速なパッチ適用に加えて、メール・フィルタリングと Web アプリケーションのハードニングが不可欠である。
訳者後書:日常のコミュニケーションを支える Roundcube において、受信データの処理部分に予期せぬ不備が紛れ込んでいました。それにより、この Web メール製品の環境において、メール本文や添付データの解析処理に関する問題が確認されました。今回の発表によると、 CVE-2026-54433/CVE-2026-54432 などを含む複数の欠陥により、メッセージを閲覧しただけで不正なプログラムが動き出し、大切なインタラクションの内容を盗み見られてしまうといった影響が生じえます。通信環境の安全を確保するために、提供されている最新のバージョン 1.7.2 へのアップデートを速やかに適用し、全体の防御力を高める必要があります。よろしければ、Roundcube での検索結果も、ご参照ください。
You must be logged in to post a comment.