HIGHCVE-2012-2140CVSS 7.5

Mail Gem 不適切な入力検証の脆弱性

プラットフォーム

ruby

コンポーネント

mail

修正版

2.4.3

AI Confidence: highNVDEPSS 3.7%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2012-2140は、RubyのMail gemにおけるリモートコード実行（RCE）の脆弱性です。この脆弱性は、sendmailまたはeximの配信処理において、シェルメタ文字が適切にエスケープされていないために発生します。バージョン2.4.1以下のMail gemを使用しているシステムは影響を受けます。脆弱性の修正はバージョン2.4.3で提供されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はMail gemを利用してメールを送信する際に、悪意のあるシェルコマンドを挿入できます。これにより、サーバー上で任意のコマンドが実行され、機密情報の窃取、システムの改ざん、さらには完全な制御奪取につながる可能性があります。攻撃者は、影響を受けるサーバーを足がかりに、ネットワーク内の他のシステムへの攻撃を試みることも考えられます。この脆弱性は、Ruby on Railsアプリケーションなど、Mail gemを広く利用している環境において、深刻な影響をもたらす可能性があります。

悪用の状況

CVE-2012-2140は、比較的古い脆弱性ですが、Ruby on Railsアプリケーションなど、依然として広く利用されている環境が存在するため、潜在的なリスクが残っています。公開されているPoC（Proof of Concept）コードが存在するため、悪用される可能性は否定できません。CISA KEVカタログへの登録状況は不明ですが、Ruby on Railsアプリケーションを運用している場合は、注意が必要です。

リスク対象者翻訳中…

Applications written in Ruby that utilize the Mail gem for sending emails are at risk. This includes web applications, automation scripts, and any other Ruby programs that rely on email functionality. Legacy systems running older versions of Ruby and its dependencies are particularly vulnerable, as are shared hosting environments where users may not have control over the Mail gem version.

検出手順翻訳中…

• ruby / server:

find / -name 'mail.rb' -exec grep -i 'sendmail' {} \
; find / -name 'mail.rb' -exec grep -i 'exim' {} \;

• ruby / supply-chain:

 gem list | grep mail

• generic web:

curl -I http://your-ruby-app/email_endpoint | grep Content-Type

攻撃タイムライン

2012-03-22Discovery
discovery
2017-10-24Disclosure
disclosure
2017-10-24Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

NextGuard10–15% まだ脆弱

EPSS

3.67% (88% パーセンタイル)

影響を受けるソフトウェア

コンポーネントmail

ベンダーosv

影響範囲修正版

—2.4.3

タイムライン

公開日2017-10-24
更新日2024-12-03
EPSS 更新日2026-04-02

公開後-2058日でパッチ適用

緩和策と回避策

この脆弱性への対応として、Mail gemをバージョン2.4.3以降にアップデートすることを強く推奨します。アップデートが困難な場合は、一時的な回避策として、sendmailまたはeximの設定で、シェルメタ文字の実行を制限するルールを追加することを検討してください。また、WAF（Web Application Firewall）を導入し、悪意のあるシェルコマンドの実行を検知・遮断することも有効です。Mail gemのログを監視し、不審なアクティビティがないか確認することも重要です。アップデート後、Mail gemのバージョンを確認し、脆弱性が修正されていることを確認してください。

修正方法翻訳中…

公式パッチはありません。回避策を確認するか、アップデートを監視してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2012-2140 — RCE in Ruby Mail gemとは何ですか？

CVE-2012-2140は、RubyのMail gem 2.4.1以前のバージョンにおいて、sendmailまたはeximの配信時にシェルメタ文字を介してリモート攻撃者が任意のコマンドを実行できる脆弱性です。

CVE-2012-2140 in Ruby Mail gemに影響を受けますか？

Ruby Mail gemのバージョンが2.4.1以下の場合、影響を受けます。バージョン2.4.3以降にアップデートしてください。

CVE-2012-2140 in Ruby Mail gemを修正するにはどうすればよいですか？

Mail gemをバージョン2.4.3以降にアップデートしてください。アップデートが困難な場合は、一時的な回避策として、sendmailまたはeximの設定でシェルメタ文字の実行を制限するルールを追加することを検討してください。

CVE-2012-2140は積極的に悪用されていますか？

公開されているPoCコードが存在するため、悪用される可能性は否定できません。Ruby on Railsアプリケーションを運用している場合は、注意が必要です。

CVE-2012-2140に関するRuby Mail gemの公式アドバイザリはどこで入手できますか？

Ruby Mail gemの公式アドバイザリは、通常、Rubyのセキュリティアナウンスメントページで確認できます。検索エンジンで「Ruby Mail gem CVE-2012-2140」と検索してください。