Roundcubeは、IMAPを用いたWebメールクライアントのひとつです。
2008年にリリースされて以降、多くの環境で利用されてきています。
RoundcubeはPHPで書かれていて、LAMP環境などで容易に構築することができます。
長い期間 利用され拡張が継続されていることもあり、充実した内容になっています。
広く使われていることを示す一つの例は、多言語対応でしょう。
実に70以上の言語に対応しているのです。
この広く使われているRoundcubeに、ずっと前からあったけれども、これまで誰も気がつかなかった脆弱性があったことがわかりました。
- CVE-2025-49113
CVE-2025-49113は、認証後にリモートコード実行を許してしまう脆弱性です。
影響範囲は1.6.10以前のすべてのバージョンです。
そして、CVSSベーススコアは9.9です。
公開された情報をもとに、一部のセキュリティ研究者は、すでに概念実証に成功しています。
認証後にのみ影響する脆弱性だからといって、甘く見ることはできません。
単にWebメールの認証が通過できただけのユーザに任意のコマンドをリモートから実行させることができてしまうのです。
使っている環境がある場合は、更新はすみやかに完了させておきましょう。
最初にこの脆弱性を発見した研究者からの概念実証コードはまだ発表されていませんが、近日、実際の脅威活動が展開されてしまうことが懸念されます。
https://fearsoff.org/research/roundcube
Roundcube ≤ 1.6.10 Post-Auth RCE via PHP Object Deserialization
| この記事をシェア |
|
|---|
表紙.png)
