CGI RESCUE製「Webメーラー」などに脆弱性、最新版へアップデートを

　独立行政法人 情報処理推進機構セキュリティセンター（IPA/ISEC）および有限責任中間法人 JPCERT コーディネーションセンター（JPCERT/CC）は4月27日、CGI RESCUE製の複数のソフトウェアに脆弱性が存在すると公表した。

　フォームに入力された内容をメールで送信するソフトウェア「Webメーラー」のバージョン1.03、およびそれ以前のバージョンには、HTTPヘッダインジェクションの脆弱性が存在する。この問題が悪用されると、ユーザーのブラウザ上で偽の情報が表示される、任意のスクリプトが実行される、HTTPレスポンス分割攻撃を受ける、といった恐れがある。

　また、フォームに入力された内容をメールで送信するソフトウェア「フォームメール」のバージョン1.41およびそれ以前、電子掲示板スクリプト「簡易BBS22」のバージョン1.00に、管理者の設定とは異なる内容でメールを送信してしまう脆弱性が存在する。この問題が悪用されると、遠隔の第三者により、任意の宛先へ不正にメールを送信される可能性がある。

　さらに、電子掲示板スクリプト「簡易BBS」には、クロスサイトスクリプティングの脆弱性が存在する。この問題が悪用されると、ユーザーのブラウザ上で任意のスクリプトを実行される可能性がある。

　CGI RESCUEでは、それぞれのソフトウェアにおいて脆弱性を解消した最新版を公開しており、該当するバージョンのソフトウェアを使用しているユーザーに対し、アップデートするよう呼びかけている。