LOWCVE-2026-35537CVSS 3.7

Roundcube Webmail: redis/memcache セッションハンドラにおける不安全なデシリアライゼーション

プラットフォーム

roundcube

コンポーネント

roundcube/roundcubemail

修正版

1.5.14

1.6.14

1.7-rc5

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年4月

NVDで見る

保存

Roundcube Webmail の Redis/Memcache セッションハンドラにおいて、不正なシリアル化の脆弱性が発見されました。この脆弱性を悪用されると、認証されていない攻撃者が悪意のあるセッションデータを通じて任意のファイルを書き込むことが可能になります。影響を受けるバージョンは Roundcube Webmail 1.7-rc4 以前です。開発者は 1.7-rc5 で修正を提供しています。

影響と攻撃シナリオ

Roundcube Webmailのバージョン1.5.14以前および1.6.14以前に存在するCVE-2026-35537の脆弱性は、Redis/Memcacheセッションハンドラにおける不安全なデシリアライゼーションにより重大なリスクをもたらします。認証されていない攻撃者は、この脆弱性を悪用してシステム上の任意のファイル書き込み操作を実行する可能性があります。これにより、重要なファイルの改ざんまたは削除につながり、メールサーバーの整合性が損なわれ、悪意のあるコードの実行が可能になる可能性があります。この脆弱性の深刻さは、認証情報なしで攻撃者が容易に悪用できる点にあります。認証不要であるため、ネットワークアクセスできる人は誰でもこの弱点を悪用する可能性があります。このリスクを軽減するためには、セキュリティアップデートを適用することが不可欠です。

悪用の状況

この脆弱性は、Redis/Memcacheシステムに悪意のあるセッションデータを注入することによって悪用されます。これらのデータには、Roundcube Webmailによってデシリアライズされるとサーバー上で任意のコマンドを実行できる可能性のあるシリアル化されたコードが含まれています。デシリアライゼーション前のセッションデータの検証不足が、この脆弱性の根本原因です。攻撃者は悪意のあるデータを含むセッションを作成し、その後Roundcube Webmailにアクセスしようとすると、デシリアライゼーションがトリガーされ、悪意のあるコードが実行されます。この攻撃には認証は必要なく、攻撃が容易になります。サーバーの構成とセキュリティにおける潜在的な弱点を特定するために、侵入テストを実施することをお勧めします。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート2 件の脅威レポート

EPSS

0.04% (12% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントroundcube/roundcubemail

ベンダーosv

影響範囲修正版

0 – 1.5.141.5.14

1.6.0 – 1.6.141.6.14

1.7-beta1.7-rc5

弱点分類 (CWE)

CWE-502

タイムライン

予約済み2026-04-03
公開日2026-04-03
更新日2026-04-14
EPSS 更新日2026-04-10

緩和策と回避策

CVE-2026-35537に対処するための推奨される解決策は、Roundcube Webmailをバージョン1.5.14以降、またはバージョン1.6.14以降にアップデートすることです。バージョン1.7-rc5にも修正が含まれています。このアップデートにより、Redis/Memcacheセッションハンドラにおける不安全なデシリアライゼーションが修正され、任意のファイル書き込み操作の実行が防止されます。アップデートに加えて、Redis/Memcacheセッションが適切に保護および分離されていることを確認するために、サーバー構成を確認することをお勧めします。サーバーログを監視して疑わしいアクティビティを検出し、対応することも役立ちます。即時のアップデートが不可能な場合は、ネットワークアクセスを制限したり、ファイアウォールを実装したりするなど、追加のセキュリティ対策を検討してください。

修正方法翻訳中…

Actualice Roundcube Webmail a la versión 1.6.14 o superior para mitigar la vulnerabilidad de deserialización insegura. Esta actualización corrige la falla que permite a atacantes no autenticados realizar operaciones de escritura de archivos arbitrarios a través de datos de sesión manipulados.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-35537 とは何ですか？（roundcube/roundcubemail の Insecure Deserialization）

バージョン1.5.14以前および1.6.14以前のバージョンがこの脆弱性に対して脆弱です。

roundcube/roundcubemail の CVE-2026-35537 による影響を受けていますか？

使用しているRoundcube Webmailのバージョンを確認してください。言及されているバージョンより古い場合は、脆弱です。

roundcube/roundcubemail の CVE-2026-35537 を修正するにはどうすればよいですか？

不安全なデシリアライゼーションは、適切な検証なしにシリアル化されたデータをデシリアライズする場合に発生し、攻撃者が悪意のあるコードを注入する可能性があります。

CVE-2026-35537 は積極的に悪用されていますか？

ネットワークアクセスを制限し、ファイアウォールを実装し、サーバーログを監視することを検討してください。

CVE-2026-35537 に関する roundcube/roundcubemail の公式アドバイザリはどこで確認できますか？

現在、特定のツールはありませんが、侵入テストは脆弱性の特定に役立ちます。