KEVは、known-exploited-vulnerabilities-catalogです。
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)が公開している、実際に悪用が確認された脆弱性の公式リストです。
数ある脆弱性の中から「攻撃に利用された」ものに焦点を当てており、セキュリティパッチの優先度付けに最適です。
重大度が高く、すでに悪用されていて、修正手段が明確なものの一覧情報となっています。
ここに、多くの環境で利用されているWebmailシステムを提供するソフトウェアの情報がまた追加されました。
今回の話の対象のソフトウェアは、RoundCubeです。
従来からいくつものRoundCubeの脆弱性がKEVに登録されていましたが、ここに最近2つの脆弱性が追加されました。
- CVE-2025-49113
これは、RoundCube Webmailの信頼できないデータのデシリアル化の脆弱性です。
CVSS Baseスコアは、9.9です。
RoundCube Webmailには、URLの_fromパラメータがprogram/actions/settings/upload.phpで検証されないため、認証されたユーザによるリモートコード実行を可能にする、信頼できないデータのデシリアル化の脆弱性が含まれています。
この脆弱性は2025年6月にはすでに修正が提供されていた脆弱性なのですが、修正が提供されてからわずか数日後には悪用の事例が確認されていました。 - CVE-2025-68461
これは、RoundCube Webmailのクロスサイト スクリプティングの脆弱性です。
CVSS Baseスコアは、7.2です。
RoundCube Webmailには、SVGドキュメントのanimateタグを介したクロスサイトスクリプティングの脆弱性が含まれています。
この脆弱性は2025年12月にはすでに修正が提供されていた脆弱性なのですが、こちらもすでに悪用の事例が確認されています。
どちらも、対策済みの新しいバージョンのソフトウェアに更新することで対策が可能です。
簡単ですね。
脆弱性対策を考える際に、すでに脅威活動に悪用されているものにだけ注意すればよいというものではありません。
しかしKEVに掲載される情報を確認する行為を通して更新の抜け漏れがないかなどを確認することができれば運用の良い補助にできるかもしれませんね。
known-exploited-vulnerabilities-catalog for RoundCube Webmail
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?search_api_fulltext=RoundCube+Webmail
| この記事をシェア |
|
|---|
