Active! mail 6の脆弱性に関する重要なお知らせ
Active! mailにおける脆弱性が2点確認されましたので、詳細について下記の通りお知らせいたします。
<<CVE-2025-52462>>
■脆弱性の種類
Active! mailにおけるクロスサイト・スクリプティング(XSS)の脆弱性
■該当製品
- 製品名称:Active! mail 6
- 該当ビルド番号:BuildInfo : 6.30.01004145 ~ 6.60.06008562
- 該当OS:上記該当ビルド番号の対応OSの全て
■脆弱性がもたらす脅威
古いバージョンのブラウザや非対応ブラウザを使用したメール作成画面で、JavaScriptコードが含まれたHTMLメールを編集する際に、プレビュー画面を表示するとスクリプトが実行され攻撃者の意図した操作が行われる可能性があります。
■対策方法
対策として下記いずれかを実施してください。
・Active! mail 6の最新バージョン(BuildInfo:6.61.01008654)にバージョンアップ
・最新バージョンにアップデートされた対応ブラウザを使用する。
※対応ブラウザについては下記を参照ください。
- Active! mail 動作環境
https://www.qualitia.com/jp/product/am/spec.html
<<CVE-2025-52463>>
■脆弱性の種類
Active! mailにおけるクロスサイトリクエストフォージェリ(CSRF)の脆弱性
■該当製品
- 製品名称:Active! mail 6
- 該当ビルド番号:BuildInfo : 6.60.06008562 以前の全てのバージョン
- 該当OS:上記該当ビルド番号の対応OSの全て
■脆弱性がもたらす脅威
secidの値が推測可能な形式になっているため、攻撃者が有効なsecidの値を生成できるようになった場合、古いバージョンのブラウザや非対応ブラウザを使用し、被害者に悪意のあるウェブページを開かせることで意図しないメールを送信させられる可能性があります。
■対策方法
対策として下記いずれかを実施してください。
・Active! mail 6の最新バージョン(BuildInfo:6.61.01008654)にバージョンアップ
・最新バージョンにアップデートされた対応ブラウザを使用する。
※対応ブラウザについては下記を参照ください。
- Active! mail 動作環境
https://www.qualitia.com/jp/product/am/spec.html
最後に、上記2点の脆弱性についてはJVNアドバイザリに識別番号「JVN#89505333」として掲載されましたので、当該リンク先を以下の通りお知らせいたします。
JVN#89505333
(日本語)
Active! mailにおける複数の脆弱性
https://jvn.jp/jp/JVN89505333/
(英語)
Multiple vulnerabilities in Active! mail
https://jvn.jp/en/jp/JVN89505333/
Active! mail 6をご利用の皆様にはご迷惑とご心配をおかけしていることを深くお詫び申し上げます。
