プラットフォーム
wordpress
コンポーネント
transmail
修正版
3.3.2
CVE-2025-49028は、Zoho ZeptoMailのtransmailコンポーネントにおける保存型クロスサイトスクリプト(Stored XSS)脆弱性です。この脆弱性を悪用されると、攻撃者は悪意のあるスクリプトをZoho ZeptoMailのシステムに注入し、ユーザーがそのページを閲覧した際に実行させることが可能です。影響を受けるバージョンは0.0.0から3.3.1までの範囲です。Zohoはバージョン3.3.2でこの脆弱性を修正しました。
このXSS脆弱性は、攻撃者がユーザーのブラウザ上で任意のJavaScriptコードを実行することを可能にします。これにより、攻撃者はユーザーのセッション情報を盗み取ったり、ユーザーを悪意のあるウェブサイトにリダイレクトしたり、Zoho ZeptoMailのインターフェースを改ざんしたりする可能性があります。特に、管理者権限を持つユーザーが攻撃を受けると、システム全体への影響が及ぶ可能性があります。この脆弱性は、ユーザーの機密情報漏洩や、Zoho ZeptoMailシステムの不正利用につながる重大なリスクをもたらします。
CVE-2025-49028は、2025年12月31日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、早急な対応が必要です。CISA KEVカタログへの登録状況は不明です。公開されているPoCは確認されていません。
Organizations utilizing Zoho ZeptoMail, particularly those with sensitive email data or critical business processes reliant on the platform, are at risk. Shared hosting environments where multiple users share the same ZeptoMail instance are especially vulnerable, as an attacker compromising one user's account could potentially gain access to others.
• wordpress / composer / npm:
grep -r 'transmail' /var/www/html/zeptomail/plugins/• generic web:
curl -I https://your-zeptomail-domain.com/transmail?script=<script>alert(1)</script>disclosure
エクスプロイト状況
EPSS
0.02% (5% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への最も効果的な対策は、Zoho ZeptoMailをバージョン3.3.2以降にアップデートすることです。アップデートが困難な場合は、WAF(Web Application Firewall)を導入し、XSS攻撃を検知・防御するルールを設定することを推奨します。また、入力値の検証を強化し、ユーザーからの入力データが適切にサニタイズされるように設定することも有効です。Zoho ZeptoMailのセキュリティ設定を見直し、不要な機能やアクセス権限を制限することも重要です。
バージョン 3.3.2 以上、または最新の修正バージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-49028は、Zoho ZeptoMailのtransmailコンポーネントにおける保存型XSS脆弱性です。攻撃者は悪意のあるスクリプトを注入し、ユーザーが閲覧した際に実行させることが可能です。
Zoho ZeptoMailのバージョンが0.0.0から3.3.1までの場合は、影響を受けます。バージョン3.3.2以降にアップデートしてください。
Zoho ZeptoMailをバージョン3.3.2以降にアップデートしてください。アップデートが難しい場合は、WAFを導入し、入力値の検証を強化してください。
現時点では、CVE-2025-49028を悪用した具体的な攻撃事例は確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、早急な対応が必要です。
Zohoのセキュリティアドバイザリページで確認できます。具体的なURLは、Zohoの公式ウェブサイトでご確認ください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。