Roundcube Webmailのユーザーは、認証前にログイン資格情報なしで悪意のあるデータベースクエリを実行できる重大な事前認証SQLインジェクションの欠陥を含む、複数の高深刻度の脆弱性が開示されたことを受け、システムへのパッチ適用が強く求められています。
これらの脆弱性は、2026年5月24日にリリースされたセキュリティアップデート1.6.16および1.7.1で対処され、長期サポートブランチと現行の安定ブランチの両方をカバーしています。
最も深刻な脆弱性は、virtuser_queryプラグインにおける事前認証SQLインジェクションの欠陥です。
このバグは、preg_replaceのバックスラッシュエスケープバイパスによって引き起こされる不適切な入力サニタイズに起因しており、攻撃者が認証ステップを完了する前に任意のSQLコマンドを挿入することを可能にします。
この欠陥を引き起こすために有効な認証情報が不要なため、攻撃対象となる範囲は大幅に拡大します。脅威アクターはこの脆弱性を悪用して、機密ユーザーデータを抽出したり、データベースの内容を操作したり、侵害されたシステム内で権限を昇格させたりする可能性があります。
パッチが適用されていないバージョンを実行しているインターネットに公開されたRoundcubeインスタンスは、積極的にリスクにさらされていると考えられるべきです。
SQLインジェクションの欠陥に加え、このアップデートではLDAPオートバリューオプションに関連するコードインジェクションの脆弱性も排除されています。この問題はオプション内でのコード評価の安全でないサポートに起因しており、現在は完全に削除されています。
この欠陥により、攻撃者が任意のコードをリモートで実行できる可能性があり、RoundcubeをエンタープライズLDAPまたはActive Directory環境と統合している組織にとって特に危険です。
これらのセキュリティアップデートは、Orange Cyberdefense脆弱性開示チームを含む独立した研究者やセキュリティチームから報告された8つの異なる脆弱性を総合的に解決しています。
XSSやCSSインジェクションなどのクライアントサイドの欠陥と、SSRFやセッションポイズニングなどのサーバーサイドの脆弱性の組み合わせにより、複数のバグが連鎖して高度なマルチステージ攻撃シナリオに発展する可能性があります。
バージョン1.6.xおよび1.7.xを実行しているすべてのRoundcubeインストールが影響を受けることが確認されています。開発チームは、直ちにバージョン1.6.16または1.7.1へのアップグレードを強く推奨しています。
管理者は、以前の悪用の試みを示す可能性のある異常なクエリパターンやセッションの異常がないか、サーバーおよびアプリケーションログも確認する必要があります。
セキュリティチームはさらに、積極的に必要とされていない場合はvirtuser_queryプラグインを無効にし、外部への露出を最小化するために厳格なアクセス制御を実施し、安全でない評価オプションが有効なままになっていないことを確認するためにLDAP設定を監査することが推奨されます。
事前認証の脆弱性の深刻さと、単一のリリースで対処された欠陥の数の多さを考えると、Roundcubeによれば、このアップデートは最優先事項として扱うべきです。
インターネットに公開された環境または本番環境でRoundcubeを運用している組織は、遅延なくパッチ適用を完了し、パッチ適用後の徹底的なセキュリティレビューを実施する必要があります。
翻訳元: https://cyberpress.org/roundcube-flaw-inject-sql-queries/