Synologyは、DiskStation Manager(DSM)上で動作するMailPlus Serverパッケージを対象に、重要なセキュリティアップデートを公開しました。このアップデートでは、攻撃者によるファイル改ざん、内部サービスへの不正アクセス、サービス拒否(DoS)状態の引き起こしを可能にする、複数の深刻な脆弱性が修正されています。
最も深刻な脆弱性はCVE-2026-13136として追跡されており、CVSS v3.1スコアは最大値の10.0を記録しています。セキュリティアドバイザリでは3件の脆弱性が取り上げられており、そのうち2件は機密性・完全性・可用性に重大な影響を及ぼす致命的な欠陥です。
この脆弱性は不適切な認可処理(CWE-863)に起因しており、認証なしのリモート攻撃者が影響を受けるシステム上の任意のファイルを読み書きできる状態になっています。悪用に成功した場合、DoS攻撃によってサービスを完全に停止させることも可能です。
もう一つの深刻な脆弱性CVE-2025-15660(ZDI-CAN-28554)のCVSSスコアは9.6です。この欠陥は、暗号学的に脆弱な擬似乱数生成器の使用(CWE-338)に関連しています。
ネットワーク的に近接した攻撃者が任意のファイル操作を行ったり、サービスを妨害したりすることを可能にします。ネットワーク隣接性が必要とはいえ、認証が不要なため、共有環境や企業環境での悪用リスクは大幅に高まります。
3件目の脆弱性CVE-2026-13135(ZDI-CAN-28485)は、CVSSスコア5.3の中程度の深刻度と評価されています。
この問題は通信チャネルに対する不適切な制限(CWE-923)に起因しており、リモートの攻撃者が内部サービスにアクセスできる状態になっています。深刻度は低めですが、ラテラルムーブメントやさらなる侵害への足がかりとなる可能性があります。
これらの脆弱性は、複数のDSMリリース上で動作するSynology MailPlus Serverの複数バージョンに影響します。Synologyはすでに修正済みバージョンをリリースしており、ユーザーに対して直ちにアップグレードするよう強く呼びかけています。
回避策や軽減策は存在しないため、パッチ適用が唯一の有効な防御手段です。リモートから認証なしで悪用でき、かつ高い権限が関わることを踏まえると、CVE-2026-13136は公開されているMailPlus Serverのインスタンスにとって極めて深刻なリスクとなります。
攻撃者はメールストレージを操作したり、機密通信を窃取したり、サービスを停止させたりする可能性があります。MailPlusが社内コミュニケーション基盤に組み込まれた企業環境では、悪用によって広範な業務停止やデータ漏洩につながるおそれがあります。
さらに、CVE-2025-15660では隣接ネットワークからの攻撃ベクターが存在するため、セグメント化された環境や部分的に信頼されたネットワーク環境においても脅威の範囲が広がっています。
Synologyは2026年6月26日にアドバイザリを公開し、今回の脆弱性情報を初めて公式に開示しました。Synology MailPlus Serverを運用している組織は、特にインターネットに公開されている環境を優先して、速やかにパッチを適用する必要があります。
また、管理者はシステムログを確認して不審なアクティビティがないかチェックするとともに、不要なネットワーク露出を制限し、可能な限りネットワークセグメンテーションを実施して攻撃対象領域を縮小することが推奨されます。
翻訳元: https://cyberpress.org/critical-synology-mailplus-server-bug/