独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は9月5日、PMailServer および PMailServer2 付属 CGI における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。株式会社ベリサーブの清水脩士氏、中西駿太氏が報告を行っている。影響を受けるシステムは以下の通り。
・PMailServer フリー版
CVE-2023-39223 (pmam.exe) の影響のみ
・PMailServer Version 1.91 およびそれ以前のバージョン
スタンダード版
プロ版
スタンダード+IMAP4対応版
プロ+IMAP4対応版
・PMailServer2 Version 2.51a より前のバージョン
スタンダード版
プロ版
スタンダード+IMAP4対応版
プロ+IMAP4対応版
エンタープライズ版
上記製品に付属する、以下の CGI が本脆弱性の影響を受ける。
pmc.exe 2.5.1.720 およびそれ以前のバージョン
pmam.exe 2.5.1.1411 およびそれ以前のバージョン
pmmls.exe 2.5.1.561 およびそれ以前のバージョン
pmum.exe (スタンダード版) 2.5.1.25451 およびそれ以前のバージョン
pmum.exe (プロ版) 2.5.1.25452 およびそれ以前のバージョン
pmum.exe (スタンダード版+IMAP4対応版) 2.5.1.25453 およびそれ以前のバージョン
pmum.exe (プロ+IMAP4対応版 / エンタープライズ版) 2.5.1.25454 およびそれ以前のバージョン
pmman.exe (スタンダード版) 2.5.1.12154 およびそれ以前のバージョン
pmman.exe (プロ版) 2.5.1.12155 およびそれ以前のバージョン
pmman.exe (スタンダード+IMAP4対応版) 2.5.1.12156 およびそれ以前のバージョン
pmman.exe (プロ+IMAP4対応版) 2.5.1.12157 およびそれ以前のバージョン
pmman.exe (エンタープライズ版) 2.5.1.12158 およびそれ以前のバージョン
A.K.I Software が提供する PMailServer および PMailServer2 付属の CGI には、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・格納型クロスサイトスクリプティング(CVE-2023-39223)
→当該製品にログインした状態のユーザのウェブブラウザ上で任意のスクリプトを実行される
・同報メール (pmc.exe) におけるアップロードファイルの検証不備(CVE-2023-39933)
→当該製品を通じてファイルをアップロードする権限を持つユーザによって、任意の実行可能ファイルを Web サーバの権限で実行される
・メーリングリスト検索 (pmmls.exe) におけるディレクトリトラバーサル(CVE-2023-40160)
→遠隔の第三者によってサーバ上の任意のファイルを取得される
・簡易Webサーバ機能におけるディレクトリトラバーサル(CVE-2023-40747)
→遠隔の第三者によってDocumentRoot 外のファイルにアクセスされる
JVNでは、PMailServer2 向け対策として開発者が提供する情報をもとに、更新ファイルを適用するよう呼びかけている。なお、PMailServerは既に開発を終了しており、更新ファイルは提供されないため、該当製品での CGI 使用停止、または後継製品 PMailServer2 への移行を推奨している。
また開発者は、ワークアラウンドを提供している。
