概要
広く利用されているオープンソースのWebメールソフトウェアであるRoundcubeは、バージョン1.6および1.5 LTS(長期サポート)における二つの重要な脆弱性に対処するため、緊急セキュリティアップデートを正式にリリースしました。これらの欠陥は、攻撃者が悪意のあるスクリプトを実行したり、機密情報を露呈させたりする可能性があり、プラットフォームをメール通信に利用している組織や個人にリスクをもたらします。
Roundcube Webmailのメンテナーは2025年12月13日にセキュリティ修正を公開し、管理者に直ちにインストールをアップデートするよう強く促しています。新しいリリースバージョン1.6.12と1.5.12は、報告されたこれらの問題に特に対処し、電子メール環境を潜在的な悪用から保護することを目的としています。
発見された脆弱性の詳細
今回のアップデートで対処された最初の、そして最も懸念される問題は、クロスサイトスクリプティング(XSS)の脆弱性です。この欠陥は、ソフトウェアがSVG(Scalable Vector Graphics)画像を処理する方法、特にanimateタグに関連して発見されました。
二つ目の脆弱性は、情報漏洩の欠陥であり、HTMLスタイルサニタイザー内に存在します。このコンポーネントは、HTMLメールから有害なコードを除去する役割を担っていますが、このサニタイザーのバイパスにより、隠蔽されるべきデータが露呈する可能性があります。リモートコード実行ほど深刻ではないことが多いものの、情報漏洩はしばしば他のエクスプロイトと組み合わせてシステムをさらに侵害するために利用されることがあります。この問題は、「somerandomdev」という研究者によって報告されました。
緊急のパッチ適用を
Roundcubeチームは、バージョン1.6.xおよび1.5.xブランチで稼働しているすべての本番環境のインストールを、直ちに最新バージョン(1.6.12および1.5.12)へアップデートするよう強く推奨しています。管理者向けには、完全な変更履歴とダウンロードファイルが公式のRoundcube GitHubリリースぺージで提供されています。
Webメールクライアントは、組織の内部ネットワークへの公開された入り口となることが多いため、パッチを適用して最新の状態に保つことが不可欠です。これらのパッチを適用しない場合、ユーザーは、メールアカウントや機密通信を侵害することを目的とした標的型XSS攻撃に対して脆弱なままとなる可能性があります。