無料で使えるメール配信CGI「acmailer」に脆弱性

JVNは、株式会社シーズが提供する無料で使えるメール配信CGI「acmailer」に脆弱性が存在すると公開した。

 

脆弱性概要

「acmailer」にはOS コマンドインジェクションの脆弱性が存在します。

 

想定被害

当該製品にログインできるユーザーに、サーバの権限で任意の OS コマンドを実行される可能性がある。

 

発見されたシステム・バージョン

  • acmailer 3.8.21 正式版より前のバージョン
  • acmailer 3.9.15β 開発版より前のバージョン

対応方法

開発者が提供する最新版(acmailer3.8.21正式版とacmailer3.9.15β)へアップデートする。

(ベンダー情報「acmailer3.8.21正式版とacmailer3.9.15β開発版をリリース」)

同社によると、アップデート方法は以下の通り。

①バックアップを取得する

②acmailerをアンインストール

③新バージョンのacmailerをインストール

④バックアップしておいたデータをリストアする

 

 

【acmailer】はサーバーに設置するCGIタイプで、しかも無料ということでメルマガ配信したい方などに人気です。

 

今回発見された「OS コマンドインジェクション」とは

「攻撃者がOSコマンド(OS[基本ソフトウェア]を操作するための命令)を不正に埋め込んだ要求をすることにより、OSを不正に操作される問題」のことです。

これを受けた場合、ウェブサイトのデータ改ざんが情報漏えいなどの被害を受け、最悪の場合、WEBサイト乗っ取りから、そこからさらに別のサイト等を攻撃することによる、2次被害を引き起こす加害者となってしまう恐れがあります。

「踏み台にされている」などと聞いた場合このような脆弱性を悪用されているケースも考えられますね。

 

上記のとおり、アップデートには少し手間がかかりますが、セキュリティ上、ご利用の方は対応されることを推奨します

 

 

LINEで送る
Pocket

Related Posts