独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は9月5日、シンクグラフィカ製メールフォームプロ CGI における情報漏えいの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。三井物産セキュアディレクション株式会社の東内裕二氏が報告を行っている。影響を受けるシステムは以下の通り。
メールフォームプロ CGI 4.3.1 およびそれ以前のバージョン
シンクグラフィカが提供するメールフォームプロ CGI には、情報漏えいの脆弱性が存在し、当該製品のユーザが第三者によって細工された URL にアクセスすることでデユーザの機微な情報が漏えいする可能性がある。なお当該製品では、入力内容を thanks モジュールから参照できるよう一定時間保持しており、本脆弱性を悪用するにはこの時間内でのアクセスが必要となる。保持時間は、configs/thanks.cgi ファイルの初期設定で 30秒となっている。
JVNでは、開発者が提供する情報をもとに、最新版へアップデートするか、thanks モジュールを無効にするよう呼びかけている。
![北が日本の住宅会社攻撃/侵害報告のお手本/Xiaomiスマホ決済に脆弱性/「まさに同感」 ほか [Scan PREMIUM Monthly Executive Summary 2022年8月度] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/39196.jpg)
