出典: Security NEXT – https://www.security-next.com/178408
ウェブメール「Roundcube」にXSSなど脆弱性 – 更新を強く推奨
ウェブメール「Roundcube」にXSSなど脆弱性 – 更新を強く推奨
ウェブメール「Roundcube Webmail」の開発チームは、セキュリティアップデートをリリースした。2件の脆弱性に対処したとしており、更新するよう強く推奨している。
現地時間2025年12月13日、セキュリティアップデートとなる「Roundcube Webmail 1.6.12」「同1.5.12」をリリースしたもの。これらアップデートでは2件の脆弱性を修正した。
具体的には、画像フォーマットである「SVG」の「animate」タグを介してスクリプトを実行されるおそれがあるクロスサイトスクリプティング(XSS)の脆弱性に対処。細工されたコンテンツを表示すると利用者のブラウザ上で任意のスクリプトが実行されるおそれがある。
また「HTML」のスタイル処理において不備があり、外部へ情報が漏洩するおそれがある脆弱性に対処した。
アドバイザリではCVE番号などについては言及していないが、いずれも外部より報告を受けたと説明。開発チームでは、データをバックアップした上で最新版へ更新するよう強く推奨している。
(Securi
