TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > アプリ: RoundCube Webmail > ウェブメール「Roundcube」にXSSなど脆弱性 - 更新を強く推奨

ウェブメール「Roundcube」にXSSなど脆弱性 - 更新を強く推奨

アプリ: RoundCube Webmail 脆弱性: XSS / クロスサイトスクリプティング

【要点】

◎Roundcube WebmailはSVGを悪用したXSSと情報漏洩の恐れがある脆弱性を修正。開発チームはバックアップ後、最新版への速やかな更新を強く推奨している。


【要約】

ウェブメールソフト「Roundcube Webmail」の開発チームは、2025年12月13日付でセキュリティアップデート「1.6.12」「1.5.12」を公開し、2件の脆弱性を修正した。1つはSVG画像内の「animate」タグを悪用したクロスサイトスクリプティング(XSS)で、細工されたコンテンツを表示すると利用者のブラウザ上で任意のスクリプトが実行されるおそれがある。もう1件はHTMLスタイル処理の不備により、外部への情報漏洩につながる可能性がある脆弱性だ。いずれも外部から報告されたもので、現時点ではCVE番号は公表されていない。開発チームは、事前にデータをバックアップした上で、速やかに最新版へ更新するよう強く呼びかけている。


【ニュース】

◆ウェブメール「Roundcube」にXSSなど脆弱性 - 更新を強く推奨 (Security NEXT, 2025/12/15)
https://www.security-next.com/178408

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022