Roundcube Webmailのユーザーに対し、複数のセキュリティ脆弱性の開示を受け、直ちにシステムを更新するよう求められています。その中には、ログインなしに攻撃者が悪意あるデータベースクエリを実行できる、認証前に悪用可能な重大なSQLインジェクションの欠陥が含まれています。
これらの脆弱性は、長期サポート版および最新版の両方に影響する重要なセキュリティアップデートの一環として、2026年5月24日に公開された新バージョン1.6.16および1.7.1で修正されました。
Roundcube Webmailの脆弱性
最も重大な問題は、virtuser_queryプラグインに存在する認証前SQLインジェクションの脆弱性です。この欠陥は、preg_replaceのバックスラッシュエスケープバイパスに起因する不適切な入力サニタイズによるもので、攻撃者が認証前に任意のSQLコマンドを注入できます。
この攻撃は有効な認証情報を必要としないため、悪用されるリスクが大幅に高まります。脅威アクターは機密データへのアクセス、データベースの内容の改ざん、または影響を受けるシステム内での権限昇格を行う可能性があります。
SQLインジェクションの欠陥に加え、RoundcubeチームはLDAPオートバリューオプションに関連するコードインジェクションの脆弱性にも対処しました。
この問題は、コード評価に対する安全でないサポートに起因しており、攻撃者がリモートで任意のコードを実行できないよう、当該サポートは削除されました。今回のアップデートでは、複雑な攻撃チェーンで組み合わせて悪用される可能性のある複数のインジェクションおよびバイパス脆弱性も修正されています。
クライアントサイドおよびサーバーサイドのいくつかのセキュリティ上の欠陥も修正されました。これには、下書き復元ダイアログの件名フィールドに存在する保存型XSSの脆弱性や、SVGアニメート要素を使用したCSSインジェクションバイパスなどが含まれます。
対処されたセキュリティ上の欠陥
- 保存型XSSの脆弱性:下書き復元ダイアログの件名フィールドにおけるHTMLおよびCSSインジェクション
- CSSインジェクションバイパス:SVGアニメートのattributeName属性へのスタイル操作によるHTMLサニタイザーの回避
- 認証前SQLインジェクション:preg_replaceのバックスラッシュエスケープバイパスを経由したvirtuser_queryプラグインへの攻撃
- SSRFバイパス:特別に細工されたローカルアドレスURLの使用
- リモートリソース取得バイパス:リモートリソースがブロックされている場合の回避
- リモート画像ブロックバイパス:CSS var()操作による回避
- 認証前の任意ファイル削除:RedisおよびMemcacheのセッションポイズニングを介した攻撃
- コードインジェクションの脆弱性:LDAPオートバリューオプションにおける安全でないコード評価
その他の問題としては、特別に細工されたローカルアドレスURLを介したSSRFバイパス、リモートリソース取得制限のバイパス、CSS var()操作によるリモート画像ブロックのバイパスが含まれます。
また、RedisまたはMemcacheの構成におけるセッションポイズニングによって引き起こされる、認証前の任意ファイル削除の脆弱性も修正されました。
これらの脆弱性は、Orange Cyberdefense脆弱性開示チームや独立した貢献者を含む複数のセキュリティ研究者およびチームによって報告されており、協調的な脆弱性開示と迅速なパッチ適用の重要性が改めて示されました。
バージョン1.6.x および1.7.x を実行しているすべてのRoundcubeインストール環境がこれらの問題の影響を受けます。管理者はリスクを軽減するため、直ちにバージョン1.6.16または1.7.1にアップグレードすることを強く推奨します。
組織はまた、不審なアクティビティのシステムログを確認し、virtuser_queryなどの不要なプラグインを無効にし、厳格なアクセス制御を実施して露出を最小限に抑えるべきです。
今回のリリースで対処された脆弱性の深刻さと数を考慮すると、このリリースは重要とみなされます。Roundcube Webmailを使用している組織、特にインターネットに面した環境では、パッチ適用を優先し、潜在的な悪用を防ぐために徹底的なセキュリティチェックを実施すべきです。
翻訳元: https://gbhackers.com/roundcube-webmail-vulnerability-execute-malicious-sql-queries/
