ウェブメール「Roundcube」に複数脆弱性 - アップデートを公開

ウェブメールソフトウェア「Roundcube」の開発チームは、セキュリティアップデートをリリースした。利用者に更新するよう強く求めている。

現地時間2026年3月18日付けでセキュリティアドバイザリを公開したもの。CVE番号などは示していないが、報告を受けたセキュリティに関する8件の問題に対処したという。

具体的には、セッションハンドラにおけるデシリアライズ処理に起因し、認証を必要とすることなく任意のファイルを書き込むことが可能となる脆弱性のほか、旧パスワードを入力することなく、パスワードを変更できる問題に対応した。

さらにメール検索における「IMAPインジェクション」および「クロスサイトリクエストフォージェリ（CSRF）」の問題を修正。添付ファイルのプレビューにおけるクロスサイトスクリプティング（XSS）などを解消している。

このほか、リモートの画像ファイル表示をブロックする機能を回避される問題や、サーバサイドリクエストフォージェリ（SSRF）などスタイルシートの処理に起因する問題などに対処した。

これら問題は「同1.6.14」「同1.5.14」にて解消されているとし、利用者に対してすみやかにアップデートを実施するよう強く推奨している。

（Security NEXT - 2026/03/19 ） ツイート

PR

関連記事

「Node.js」のセキュリティ更新、3月24日に公開予定
Oracleのエッジクラウド向けツールキットに深刻な脆弱性
「jsPDF」に複数脆弱性 - PDF生成時にスクリプト埋め込みのおそれ
「ScreenConnect」に暗号鍵不正取得のおそれがある脆弱性
Apple、iOSやmacOS向けにセキュリティアップデートをリリース
「MS Edge」も2度にわたり更新 - ゼロデイ脆弱性を解消
「Wing FTP Server」の脆弱性悪用を確認 - 米当局が注意喚起
GNU Inetutils「telnetd」にRCE脆弱性 - アップデートを準備
HPE Aruba製スイッチ向けOSに認証回避など複数の脆弱性
米当局、Chromeゼロデイ脆弱性に注意喚起 - Chromium派生ブラウザも注意