「PHP FormMail Generator」で生成したPHPコードに複数の脆弱性(JVN)
IPAおよびJPCERT/CCは、PHP Form Mail Makerが提供するWebサービス「PHP FormMail Generator」で生成したPHPコードに複数の脆弱性が存在すると「JVN」で発表した。
脆弱性と脅威
セキュリティホール・脆弱性
「2016年12月6日より前にPHP FormMail Generatorで生成した PHP コード」には、認証回避(CVE-2016-9482)、信頼できないデータのデシリアライズ(CVE-2016-9483)、ディレクトリトラバーサル(CVE-2016-9484)の脆弱性が存在する。この脆弱性が悪用されると、遠隔の第三者によって、Webフォームの管理パネルにアクセスされたり、サーバ上の任意のファイルを取得されたりする可能性がある。JVNでは、サービスではすでに脆弱性が修正されているため、PHPコードを修正するか、自身でコードを修正するよう呼びかけている。
《吉澤 亨史( Kouji Yoshizawa )》