「Active! mail」におけるスタックベースのバッファオーバーフローの脆弱性について（JVN#22348866） | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

トップページ 情報セキュリティ 重要なセキュリティ情報 2025年度 「Active! mail」におけるスタックベースのバッファオーバーフローの脆弱性について（JVN#22348866） 注釈：最新情報は、JVN(JVN#22348866)をご覧ください。 概要 株式会社クオリティアが提供する「Active! mail」は、ウェブメールシステムです。 「Active! mail」には、スタックベースのバッファオーバーフローの脆弱性（CVE-2025-42599）が存在します。 本脆弱性を悪用された場合、遠隔の第三者によって細工されたリクエストを送信され、任意のコードを実行されたり、サービス運用妨害（DoS）状態を引き起こされたりする可能性があります。 同脆弱性を悪用する攻撃がすでに確認されているため、できるだけ早急に、製品開発者が提供する情報をもとに、最新版にアップデートしてください。

[delphinus35]

「Active! mail」でググると、今でも色んな企業や大学のログインページが見付かります。そっちも結構やばい。攻撃対象探すのにも苦労しない有様。

[suka6411144]

なんかCっぽい脆弱性、メモリ管理は人類には早すぎた

[gnt]

最終更新日：2025年4月18日 本脆弱性のCVSS v3深刻度：緊急、本脆弱性のCVSS v3基本値：9.8 / 公称「累計2,250法人、1,300万アカウントの導入実績」やで……

[keidge]

企業、自治体、学校、いろんなところで使われている製品。いわゆるwebメール製品のデファクトスタンダードのように扱われた時代もある。

[csal8040]

4/23ここまで

[dekaino]

IIJ情報漏洩の原因となった脆弱性

[ot2sy39]

Active!gateの方は大丈夫？

[Kmusiclife]

mallocと言っても今や分からない人だらけなのでは？危機を感じる。基礎は何よりも大事です。

[hecaton55]

ふーむ。

[ya--mada]

BoFによって、アプリが確保したメモリ領域内にあるサブルーチンポインタを上書きして、攻撃者が入力した実行コードを実行させる。/GW以外にメールボックス提供も有ったのか https://www.qualitia.com/jp/iijmxwebactive_mail/

[otation]

久しぶりに名前を見た

[unmarshal]

バッファオーバーフローの脆弱性だとC言語の古い実装箇所などが残っていたのだろうか。ゼロデイではあるけど、ライブラリレベルのゼロデイとは別物と考えた方が良いと思う。

[kibitaki]

あれまー。今契約してるメールサーバーも予備用のクライアントにはなってる。アップデートしてるか業者に確認がこちらの責任だとめんどいな。

[inks]

スタックベースのバッファオーバーフロー...。スマン、全く判らん。三行で説明を求む。

[tyouaniki]

今後、危険度がヤバめな脅威が報告された瞬間に該当サービスを問答無用に落とす＆落とした際の被害（？）は免責される、みたいな運用がデフォルトになるんだろうか。

[uunfo]

Active! mail懐かしい

[tailtame]

IIJがこれだとか。

[dorotheas11]

こんなジャパンローカルなシステムが狙われるんなら、もうビッグ・テックに乗っかるほか選択肢がない。死なば諸共。

[hiroomi]

“「Active! mail」には、スタックベースのバッファオーバーフローの脆弱性（CVE-2025-42599）が存在します。”