CGI RESCUE製品に複数の脆弱性:早期アップデートを
CGI RESCUEのWebメーラーや簡易掲示板などの製品に複数の脆弱性が存在し、悪用されると任意のスクリプトを実行されたり、不正にメールが送信されたりする。
» 2009年04月27日 18時17分 公開
[ITmedia]
CGI RESCUEが提供する複数製品に脆弱性が見つかり、情報処理推進機構とJPCERT コーディネーションセンターが4月27日付で情報を公開した。CGI RESCUEが公開したアップデートの早期適用を呼び掛けている。
公開された脆弱性は、HTTPヘッダインジェクションとクロスサイトスクリプティング(XSS)、メールの不正送信が可能な脆弱性(2件)の計4件となる。
HTTPヘッダインジェクションの脆弱性は、Webメーラー v1.03以前に存在し、悪用されるとユーザーのWebブラウザ上で偽の情報が表示されたり、任意のスクリプトが実行されたりするほか、HTTPレスポンス分割攻撃を受ける恐れがある。XSSの脆弱性は、電子掲示板スクリプトの簡易BBS v8t〜v10系の一部のバージョンに存在し、ユーザーのシステム上で任意のスクリプトが実行される可能性がある。
メールの不正送信が可能な2件の脆弱性は、電子掲示板スクリプトの簡易BBS22 v.1.00とフォームメール v.1.41以前に存在する異なる脆弱性。いずれも悪用されると、リモートから任意のあて先へ不正に電子メールが送信されてしまう。
CGI RESCUEはそれぞれの脆弱性を解消したバージョンを製品ごとに提供しており、ユーザーにアップデートを促している。
関連記事
- 掲示板スクリプト「簡易BBS2000」に脆弱性
「簡易BBS2000」と「同i」にディレクトリトラバーサルの脆弱性が見つかり、修正版が公開された。 - ショッピングカート「ショッピングバスケットプロ」に脆弱性
CGI RESCUEのショッピングカートソフトにディレクトリトラバーサルの脆弱性が見つかった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
ITmediaはアイティメディア株式会社の登録商標です。