メールのセキュリティ機能を巧妙に回避する形で、Roundcube Webmailの脆弱性により、「リモート画像をブロック」が有効でもユーザーが隠れたトラッキングにさらされます。
休暇中の検証作業で発見されたこの問題(CVE-2026-25916)は、1.5.13および1.6.13より前のバージョンに影響します。
攻撃者は、あなたが自分のメールを開いたかどうかを確認でき、あなたに気付かれないままIPアドレスやブラウザの詳細を記録できます。
これらのチェックでは、is_image_attribute()という厳格な関数が使われており、リモート読み込みがオフのときは外部URLを拒否します。
しかしサニタイザーはそれをwash_link()経由で処理し、HTTP/HTTPSのURLを許可します。結果として、ブラウザは攻撃者の画像を不可視のまま取得し、ブロックを回避してしまいます。
セキュリティ研究者「nullcathedral」は、 Roundcubeの rcube_washtml.phpにおける最近のSVG修正を監査している最中にこれを発見しました。
それは小さく、画面外に配置されたSVGです。レンダリングされると、ブラウザがhrefの画像を取得し、攻撃者のサーバーへアクセス(ping)します。
クリックは不要で、メールを開くだけで発動します。フィッシングキャンペーンやスパムの追跡に最適です。
これは、ニッチなSVGの癖が広範な防御を損ない得ることを浮き彫りにしています。
翻訳元: https://cyberpress.org/roundcube-webmail-vulnerability-lets-attackers-track-email-opens/
ソース: cyberpress.org