1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. Active! mail! でスタックベースのバッファオーバーフローの脆弱性 既にゼロデイ攻撃に悪用を確認(CVE-2025-42599)

Active! mail! でスタックベースのバッファオーバーフローの脆弱性 既にゼロデイ攻撃に悪用を確認(CVE-2025-42599)

セキュリティニュース

投稿日時: 更新日時:

Active! mail! でスタックベースのバッファオーバーフローの脆弱性 既にゼロデイ攻撃に悪用を確認(CVE-2025-42599)

2025年4月18日、株式会社クオリティアが提供するウェブメールシステム「Active! mail」において、スタックベースのバッファオーバーフロー脆弱性(CVE-2025-42599)が報告されました。


この脆弱性はCVSS v3スコア9.8(緊急)と評価されており、すでに本脆弱性を悪用した攻撃も確認されているため、各組織のシステム管理者は速やかなアップデートが強く推奨されます。

脆弱性の対象バージョン

Active! mail 6 BuildInfo: 6.60.05008561およびそれ以前のバージョン

脆弱性の対策バージョン

Active! mail 6 BuildInfo: 6.60.06008562

脆弱性の概要

「Active! mail」は、企業向けに広く採用されているWebメールシステムです。今回報告された脆弱性(CVE-2025-42599)は、細工されたリクエストを通じて、遠隔の第三者が任意のコードを実行する可能性があるスタックベースのバッファオーバーフローに起因しています。

悪用されると、以下のような影響が生じる恐れがあります:

  • システム上で任意のコード実行

  • サービスの停止(DoS)

  • 他のシステムやネットワークへの横展開攻撃の踏み台化

すでに実際の攻撃が確認されていることから、ゼロデイ相当のリスクがあると見なすべき状況です。

参照

「Active! mail」におけるスタックベースのバッファオーバーフローの脆弱性について(JVN#22348866)

関連記事

Default ThumbnailMicrosoftがゼロデイ脆弱性や複数の脆弱性を修正(CVE-2024-30051,CVE-2024-30046,CVE-2024-30040) Androidの重大な脆弱性が標的型攻撃などへ悪用の可能性(CVE-2024-43093,CVE-2024-50302)Androidの重大な脆弱性が標的型攻撃などへ悪用の可能性(CVE-2024-43093,CVE-2024-50302) Microsoft、2025年4月の月例パッチでゼロデイを含む134件の脆弱性を修正Microsoft、2025年4月の月例パッチでゼロデイを含む134件の脆弱性を修正 Cisco Nexus 3000/9000シリーズ スイッチにDoS脆弱性(CVE-2025-20111)Cisco Nexus 3000/9000シリーズ スイッチにDoS脆弱性(CVE-2025-20111) Apache Parquetで重大な脆弱性、対象者はアップデートを(CVE-2025-30065)Apache Parquetで重大な脆弱性、対象者はアップデートを(CVE-2025-30065) Default Thumbnail東芝の複合機「e-STUDIO」の複数のシリーズで脆弱性 Default ThumbnailSAP Financial Consolidationの緊急度の高い脆弱性を修正(CVE-2024-37177、CVE-2024-34688) トンネリングプロトコルの脆弱性で400万台超のVPNに影響、日本も影響大トンネリングプロトコルの脆弱性で400万台超のVPNに影響、日本も影響大 Default ThumbnailGitLab 重要度の高い脆弱性を修正 (CVE-2024-4835)