検出

openSUSE 16 セキュリティ更新roundcubemailopenSUSE-SU-2026:20323-1

high Nessus プラグイン ID 301453

Language:

概要

リモートの openSUSE ホストに 1 つ以上のセキュリティ アップデートがありません。

説明

リモートの openSUSE 16 ホストに、複数の脆弱性の影響を受けているパッケージがインストールされています。これらの脆弱性は openSUSE-SU-2026:20323-1 アドバイザリで言及されています。

 roundcubemail に変更します

 1.6.13 に更新:

 これは、Roundcube Webmail の安定版stableバージョン 1.6 に対するセキュリティ更新です。
 最近報告されたセキュリティの脆弱性に対する修正を提供します
 - CERT Polska により報告された CSS インジェクションの脆弱性を修正boo#1258052、 CVE-2026-26079。
 - nullcathedral が報告する SVG コンテンツを介したリモートイメージブロックのバイパスを修正しますboo#1257909、 CVE-2026-25916。

 このバージョンは安定版stableと見なされ、Roundcube 1.6.x の全ての生産インストールをこのバージョンで更新することを推奨します。更新する前に、データのバックアップを行ってください!

 変更ログ
 - ManagesieveOut of Office での日付テストのための string-list フォーマット値の処理を修正します#10075
 - CERT Polska 氏により報告された CSS インジェクションの脆弱性を修正します。
 - nullcathedral により報告される SVG コンテンツを介したリモート画像ブロックバイパスを修正。

 1.6.12 に更新:

 これは、Roundcube Webmail の安定版stableバージョン 1.6 に対するセキュリティ更新です。
 最近報告されたセキュリティの脆弱性に対する修正を提供します

 - Valentin T. 氏、CrowdStrike 氏により報告された SVG のアニメーションタグを介してクロスサイトスクリプティングの脆弱性を修正しますboo#1255308、 CVE-2025-68461]
 -somerandomdev によって報告された HTML スタイルサニタイザーにある情報漏洩の脆弱性を修正しますboo#1255306、 CVE-2025-68460。

 このバージョンは安定版stableと見なされ、Roundcube 1.6.x の全ての生産インストールをこのバージョンで更新することを推奨します。

 - データベース DSN で IPv6 をサポートします#9937
 - 特定の error_reporting 設定を強制しません
 - array_first() に関する PHP との互換性を修正します 8.5
- X-XSS-Protection の例を .htaccess ファイルから削除します#9875
 - 最初のグループ作成後のグループアクション状態への割り当てを修正#9889
 - contactlist_fields に vcard フィールドが含まれている場合に、コンタクト検索が失敗するバグを修正します#9850
 - mbox エクスポートファイルに一貫性のないメッセージの区切り文字が含まれる可能性があるバグを修正#9879
 - 適切にフォーマットされていないインラインスタイルの解析を修正します#9948
 - SVG のアニメーションタグによるクロスサイトスクリプティングの脆弱性を修正します
 - HTML スタイルサニタイザーの情報漏洩の脆弱性を修正します

 1.6.11 に更新してください

 これは、Roundcube Webmail の安定版stableバージョン 1.6 に対するセキュリティ更新です。
 最近報告されたセキュリティの脆弱性に対する修正を提供します
 * firs0v によって報告される PHP オブジェクト逆シリアル化を通じて Post-Auth RCE を修正します。

 - 変更ログ
 * Managesieveヘッダーの削除アクションの match-type セレクターを修正未サポートのオプションを削除します#9610
 * SMTP 認証の無効化に関する混乱を修正するためにインストーラーを向上します#9801
 * index.php の PHP 警告を修正します#9813
 * OAuthトークンリフレッシュを修正/改善します
 * HTML メールプレビューで誤った色が blockquote に使用されるダークモードのバグを修正します#9820
 * フローテーブルが含まれる場合の HTML メッセージプレビューを修正します#9804
 * キープレフィックスを使用する際の redis/memcache レコードの削除/期限切れを修正
 * タイプごとに 1 つ以上ある場合、間違った SPECIAL-USE フォルダが検出される可能性があるバグを修正します#9781
 * password_ldap_encodage オプションのデフォルト値およびドキュメンテーションを修正します#9658
 * モバイル/フローティングの [Create] ボタンを [Settings] >#9661[Folders] でリストから削除します [ ]
 * フォルダーの作成中の [削除] と [空] ボタンの状態を修正します#9047]
 * ldap:// URI を使用した LDAP への接続を修正#8990]
 * HTML モードでの返信引用の下でのカーソル位置を修正します#8700
 * コンテンツタイプが application/vnd.ms-tnef である添付ファイルが解析されないバグを修正します#7119

 1.6.10 に更新:

 これは、安定版stableバージョン 1.6を更新する次のサービスリリースです。
 * IMAPANNOTATE-EXPERIMENT-1 拡張の部分的サポートRFC 5257
 * OAuthOIDC トークンで受信した長寿命パスワードによる標準認証をサポートします#9530
 * PHP 警告を修正します#9616、 #9611]
 * vCard 行の継続における空白処理を修正します#9637
 * managedsieve_kolab_master モードでの初期スクリプト作成後の現在のスクリプト状態を修正
 * Zimbra サーバーでの rcube_imap::get_vendor() の結果および PHP 警告を修正します#9650]
 * インライン SVG 画像がメールプレビューで欠けている回帰を修正します#9644
 * ユーザー名のバックスラッシュを処理するために virtuser_file を修正します#9668
 * 一部の無効な形式の BODYSTRUCTURE 応答を解析する際の PHP の致命的なエラーを修正します#9689
 * PostgreSQL で insert_or_update() とデータベースサーバー構成の読み取りを修正します#9710]
 * use_secure_urls=true の Oauth 問題を修正します#9722
 * quoted-printable でエンコードされたバイナリメール部分例PDFの処理を修正します#9728
 * コメント内のリンクを修正し、必要に応じて https:// に構成します#9759、 #9756]
 * RFC2231 と RFC2047 の両方の標準を使用してエンコードされた添付ファイル名のデコードを修正します#9725]

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける roundcubemail パッケージを更新してください。

参考資料

https://bugzilla.suse.com/1255306

https://bugzilla.suse.com/1255308

https://bugzilla.suse.com/1257909

https://bugzilla.suse.com/1258052

https://www.suse.com/security/cve/CVE-2025-68460

https://www.suse.com/security/cve/CVE-2025-68461

https://www.suse.com/security/cve/CVE-2026-25916

https://www.suse.com/security/cve/CVE-2026-26079

プラグインの詳細

深刻度: High

ID: 301453

ファイル名: openSUSE-2026-20323-1.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2026/3/7

更新日: 2026/3/7

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.7

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 6.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N

CVSS スコアのソース: CVE-2025-68460

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:novell:opensuse:16.0, p-cpe:/a:novell:opensuse:roundcubemail

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2026/3/5

脆弱性公開日: 2025/12/16

CISA の既知の悪用された脆弱性の期限日: 2026/3/13

参照情報

CVE: CVE-2025-68460, CVE-2025-68461, CVE-2026-25916, CVE-2026-26079