独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は7月2日、株式会社クオリティアが提供するActive! mailに関する複数の脆弱性を「Japan Vulnerability Notes（JVN）」で公表した。これらの脆弱性は、学習院大学の藤田倫太朗氏および馬場将次氏により報告されたもの。

影響を受けるバージョンは以下の通り：

• CVE-2025-52462
  　Active! mail 6（BuildInfo: 6.30.01004145～6.60.06008562）
  　内容：**クロスサイトスクリプティング（XSS）**の脆弱性。ログイン中のユーザーが細工されたURLにアクセスすると、任意のスクリプトがユーザーのブラウザ上で実行される可能性がある。
• CVE-2025-52463
  　Active! mail 6（BuildInfo: 6.60.06008562およびそれ以前）
  　内容：**クロスサイトリクエストフォージェリ（CSRF）**の脆弱性。ユーザーが意図しないメールを送信させられる恐れがある。

いずれの脆弱性も、ユーザーがログイン状態で細工されたリンクにアクセスした場合に被害を受ける可能性があるため、実運用環境でのリスクは高い。

JVNでは、開発元が提供する情報に基づき、修正済みバージョン（BuildInfo: 6.61.01008654）以降へのアップデートを強く推奨している。

引用元記事：https://news.yahoo.co.jp/articles/0daa8f4c0bffc4956e2b36d79b83cfc55ab535b6