Roundcubeウェブメールのセキュリティアップデート、ゼロクリックXSSとSSRFバイパスの重大な脆弱性を修正

Roundcubeはバージョン1.7.2をリリースしました。これはセキュリティに重点を置いたアップデートで、ゼロクリックの持続型クロスサイトスクリプティング(XSS)の欠陥やサーバーサイドリクエストフォージェリ(SSRF)のバイパスを含む、複数の深刻な脆弱性に対処しています。

今回のアップデートは、複数のセキュリティ研究者による責任ある開示を受けたもので、すべての本番環境への適用が強く推奨されています。

Roundcubeウェブメール、セキュリティアップデートで脆弱性を修正

今回のアップデートで最も重大な問題は、CVE-2026-54433として追跡されているもので、Roundcubeのプレーンテキストメール表示機能に影響するゼロクリックの持続型XSS脆弱性です。

この脆弱性により、攻撃者はメールに悪意のあるJavaScriptを埋め込むことができ、ユーザーの操作を一切必要とせず、メールを閲覧しただけで自動的に実行されてしまいます。攻撃者はユーザーのクリックに依存せず攻撃を成立させられるため、セッションハイジャック、認証情報の窃取、被害者のウェブメールセッション内での任意の操作といったリスクが大幅に高まります。

もう一つの深刻度の高い脆弱性であるCVE-2026-54432は、添付ファイルの検証警告ページにおいて、適切にサニタイズされていない添付ファイルのMIMEタイプが引き金となる持続型XSSに関するものです。攻撃者は入力検証をすり抜ける悪意のある添付ファイルを作成でき、ユーザーが警告プロンプトを操作した際にスクリプトが実行されてしまいます。

これらのXSS脆弱性に加え、今回のアップデートでは新たに発見された2件のSSRFバイパス手法も解消されています。これらの脆弱性により、攻撃者はURL解析ロジックを操作し、本来アクセスが制限されているローカルまたは内部ネットワークのリソースにアクセスできてしまいます。

SSRF脆弱性は、ウェブメール環境において特に危険です。攻撃者が内部サービスへの侵入経路として悪用したり、バックエンドシステムから機密性の高いメタデータを窃取したりできてしまう可能性があるためです。

また今回のリリースでは、セッションに注入されたユーザー名が原因でパスワードプラグインに生じていた複数のセキュリティ上の弱点にも対処しています。これらの問題は、状況によっては不正なパスワード変更や権限昇格を許してしまう可能性がありました。

さらに、TNEF(winmail.dat)添付ファイル内の細工された圧縮RTFデータに起因するサービス拒否(DoS)脆弱性も修正されました。この脆弱性が悪用されると、過剰なリソース消費やサービス停止を引き起こす恐れがあります。加えて、TNEFデコーダーに存在していた無限ループのバグも修正され、メール解析中にサービスがハングする可能性を防いでいます。

セキュリティパッチに加え、Roundcube 1.7.2には安定性とパフォーマンスに関する複数の改善も含まれています。具体的には、static.phpハンドラーの修正、OAuthクレーム処理の改善、Rangeリクエスト処理の修正、そしてvCardのインポート、セッションストレージの挙動、Imagickの一時ファイル処理に影響するバグの修正が行われています。

開発チームはバージョン1.7.2を安定版と位置付けており、管理者に対して直ちにアップグレードするよう呼びかけています。本番環境へのアップデートにあたっては通例どおり、適用前に設定とデータのバックアップを取ることが推奨されます。

実際の攻撃シナリオを想定すると、そのリスクの大きさがよく分かります。攻撃者は悪意のあるペイロードを埋め込んだ、巧妙に細工したメールを送信します。受信者がRoundcubeでこのメッセージを開くと、ゼロクリックXSSが自動的に実行され、攻撃者は目に見える兆候を残すことなくセッションを乗っ取り、メールボックスの中身にアクセスできてしまいます。

Roundcubeは企業やホスティング環境で広く利用されていることから、これらの脆弱性は重大な脅威となります。潜在的な攻撃を軽減するためには、迅速なパッチ適用に加え、メールフィルタリングやウェブアプリケーションの堅牢化も欠かせません。

Interact with Cyber Threats in Windows, Linux, macOS VMs to Trigger Full Attack Chain - Analyse Malware & Phishing with ANY RUN

翻訳元: https://gbhackers.com/roundcube-webmail-security-update-patches-critical-zero-click-xss/

ソース: gbhackers.com