Roundcube Webmail 1.7.2、ゼロクリックXSSやSSRF回避、DoS脆弱性を修正

Roundcubeはセキュリティ対策を主眼としたアップデート版1.7.2をリリースし、6件の脆弱性を修正しました。このうちCVEが割り当てられた2件は、攻撃者がユーザーの操作なしに格納型クロスサイトスクリプティング(XSS)を実行できてしまうものです。

メンテナーのalecpl氏が5日前にこのリリースをプッシュし、本番環境で稼働中のすべてのユーザーに対し、データをバックアップしたうえで直ちにアップデートするよう呼びかけています。最も深刻な問題はCVE-2026-54433として追跡されているもので、Roundcubeのプレーンテキスト描画エンジンに存在するゼロクリックの格納型XSS脆弱性です。

攻撃者はプレーンテキストのメールに悪意あるペイロードを埋め込むことができ、被害者がそのメッセージを開くだけで自動的にコードが実行されます。クリックもリンクも添付ファイルも必要ありません。

この種の脆弱性は、不審なリンクを避けるといった一般的なユーザーの警戒策を無効化してしまうため、Webメールプラットフォームにとって特に危険です。

関連する脆弱性であるCVE-2026-54432は、添付ファイル検証の警告ページに表示される、エスケープ処理されていない添付ファイルのMIMEタイプを通じた格納型XSSです。

両CVEはいずれもSamsung R&D Institute Ukraine(SRUKR)のBohdan Kurinnoy氏によって報告されており、Roundcubeの描画パイプラインにおける出力サニタイズの不備というパターンが浮き彫りになっています。

研究者のLeenear氏は、Roundcubeのサーバーサイドリクエストフォージェリ(SSRF)対策を回避する新たな2つの手法を発見しました。これらは特別に細工したローカルアドレスのURLを利用するものです。

SSRF脆弱性は通常、攻撃者がサーバーに不正な内部ネットワークリクエストを行わせることを可能にし、内部サービスやメタデータエンドポイントが露出する恐れがあります。

これは、Roundcubeのローカルアドレスフィルタリングロジックに対するSSRF回避策の修正としては少なくとも2回目にあたり、基盤となる検証手法そのものについて、場当たり的なパッチ適用ではなく、アーキテクチャレベルでの見直しが必要である可能性を示唆しています。

これとは別に、GlendaenriおよびPeppersghost両氏は、passwordプラグインにおいてセッションに注入されたユーザー名に起因する複数の脆弱性を報告しました。これにより、攻撃者が制御するセッションデータを使ってパスワード変更リクエストを操作できる可能性があります。

DoSに関連する2件のバグは、Microsoft Outlook独自の添付ファイル形式を解析するために使われるRoundcubeのTNEF(winmail.dat)デコーダーに影響します。

両脆弱性に共通する攻撃手法は、従来型のマルウェアペイロードを送り込むのではなく、解析ロジックの脆弱性を突くよう細工された悪意あるメール添付ファイルです。

セキュリティ パッチに加えて、バージョン1.7.2にはいくつかのバグ修正が含まれています。static.phpへのHEADリクエストハンドラーの追加、OAuthパスワードクレーム取得ロジックの修正、範囲指定リクエストにおける416エラーの解消、スキンロゴの読み込み失敗の修正などです。

また、連絡先インポート時にvCard 2.1の行アンフォールディングが適切に行われない問題や、Imagickが失敗した際に一時ファイルが残留する問題も修正されています。

RoundcubeのアドバイザリによるとCVE-2026-54433がゼロクリックで悪用される性質を持つことを踏まえ、Roundcubeを運用している組織は、通常のパッチ適用サイクルよりもこのアップデートを優先すべきです。

マルチテナント環境や利用者の多いWebメールを運用する管理者は、特にリスクが高い状況にあります。悪意あるメール1通だけで、被害者側の操作なしに組織内のセッションが侵害される可能性があるためです。

通常どおり、アップグレード前には設定ファイルとデータベースファイルのバックアップを取り、特にpasswordプラグインについては、今回のリリースにおけるセッション処理の変更を踏まえてプラグインの互換性を確認してください。

翻訳元: https://cyberpress.org/roundcube-webmail-1-7-2-fixes-zero-click-xss-dos/

ソース: cyberpress.org