Active! mail(アクティブメール)に緊急の脆弱性、更新を - JPCERT/CC

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は4月18日、「JVN#22348866: Active! mailにおけるスタックベースのバッファオーバーフローの脆弱性」において、クオリティアの企業向けWebメールシステム「Active! mail(アクティブメール)」に緊急の脆弱性が存在すると伝えた。

この脆弱性悪用されると、認証されていないリモートの攻撃者に任意のコード実行ならびにサービス運用妨害(DoS: Denial of Service)を引き起こされる可能性がある。また、すでに悪用が確認されているとして直ちに対策を実施するように推奨している。

○脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

Active! mail 6の脆弱性に関する重要なお知らせ | ニュース・イベント | 株式会社クオリティア

脆弱性の情報(CVE)は次のとおり。

CVE-2025-42599 - スタックベースのバッファーオーバーフローの脆弱性。認証されていないリモートの攻撃者は、特別に細工したリクエストを送信することで任意のコード実行ならびにサービス運用妨害(DoS: Denial of Service)を引き起こす可能性がある(CVSSスコア: 9.8)

○脆弱性が存在する製品

脆弱性が存在する製品およびバージョンは次のとおり。

Active! mail 6 BuildInfo:6.60.05008561およびこれ以前のバージョン

○脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

Active! mail 6 BuildInfo:6.60.06008562

○対策

クオリティアは現在、攻撃を受けたか確認する方法を調査中としている。検出方法を特定次第、改めて発表する見込みだ。

この脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。JPCERT/CCは開発者の提供する情報に基づいて、直ちにアップデートすることを推奨している。