検出

プラグイン

openSUSE 16 セキュリティ更新:roundcubemail(openSUSE-SU-2026:20852-1)

high Nessus プラグイン ID 318192

Language:

概要

リモートの openSUSE ホストに 1 つ以上のセキュリティアップデートがありません。

説明

リモートの openSUSE 16 ホストに、複数の脆弱性の影響を受けているパッケージがインストールされています。これらの脆弱性は openSUSE-SU-2026:20852-1 アドバイザリで言及されています。

roundcubemail の変更点:

- 1.6.16 に更新してください
- IMAP ID コマンドの潜在的な長すぎる値を修正します(#10136)
- セキュリティ:ドラフト復元ダイアログのサブジェクトフィールドに保存された XSS/HTML/CSS インジェクションを修正します [CVE-2026-48849] [bsc#1266337]
- セキュリティ:「animate attributeName=style」を介して HTML サニタイザーの CSS インジェクションバイパスを修正します [CVE-2026-48848] [bsc#1266336]
- セキュリティ:preg_replace バックスラッシュエスケープバイパスを介してプラグインvirtuser_query事前認証 SQL インジェクションを修正します [CVE-2026-48842] [bsc#1266329]
- セキュリティ:特定のローカルアドレス URL を介した SSRF バイパスを修正します [CVE-2026-48843] [bsc#1266331]
- セキュリティ:CSS var() を介してリモート画像ブロックのバイパスを修正します [CVE-2026-48846] [bsc#1266334]
- セキュリティ:リモートリソースが許可されなかったときのローカル/プライベート URL フェッチのバイパスを修正します [CVE-2026-48845] [bsc#1266333]
- セキュリティ:redis/memcache セッションポイズニングバイパスを介した事前認証の任意ファイル削除を修正します [CVE-2026-48847] [bsc#1266335]
- セキュリティ:コードインジェクションの脆弱性を修正します - LDAP 自動値オプションのコード評価のサポートを削除します [CVE-2026-48844] [bsc#1266332]

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける roundcubemail パッケージを更新してください。

参考資料

https://bugzilla.suse.com/1266329

https://bugzilla.suse.com/1266331

https://bugzilla.suse.com/1266332

https://bugzilla.suse.com/1266333

https://bugzilla.suse.com/1266334

https://bugzilla.suse.com/1266335

https://bugzilla.suse.com/1266336

https://bugzilla.suse.com/1266337

https://www.suse.com/security/cve/CVE-2026-48842

https://www.suse.com/security/cve/CVE-2026-48843

https://www.suse.com/security/cve/CVE-2026-48844

https://www.suse.com/security/cve/CVE-2026-48845

https://www.suse.com/security/cve/CVE-2026-48846

https://www.suse.com/security/cve/CVE-2026-48847

https://www.suse.com/security/cve/CVE-2026-48848

https://www.suse.com/security/cve/CVE-2026-48849

プラグインの詳細

深刻度: High

ID: 318192

ファイル名: openSUSE-2026-20852-1.nasl

バージョン: 1.2

タイプ: Local

エージェント: unix

ファミリー: SuSE Local Security Checks

公開日: 2026/6/2

更新日: 2026/6/16

サポートされているセンサー: Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.6

現状値: 6

ベクトル: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2026-48842

CVSS v3

リスクファクター: High

基本値: 8.1

現状値: 7.3

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:roundcubemail, cpe:/o:novell:opensuse:16.0

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2026/5/31

脆弱性公開日: 2026/5/25

参照情報

CVE: CVE-2026-48842, CVE-2026-48843, CVE-2026-48844, CVE-2026-48845, CVE-2026-48846, CVE-2026-48847, CVE-2026-48848, CVE-2026-48849