logo

ウェブメール「Active! mail 6」にHTTPヘッダインジェクションの脆弱性

  • このエントリーをはてなブックマークに追加

 独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)と一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は10月29日、トランスウエアが提供するウェブメール「Active! mail 6」にHTTPヘッダインジェクションの脆弱性が確認されたと「Japan Vulnerability Notes(JVN)」で発表した。

 「Active! mail 6 Build 6.40.010047750」およびそれ以前のバージョンには、HTTPヘッダインジェクションの脆弱性が存在する。この問題が悪用されると、ユーザーのウェブブラウザ上に偽の情報が表示されたり、任意のスクリプトが実行されたりするほか、HTTPレスポンス分割攻撃を受けるなどの可能性があるという。

 トランスウエアでは、この脆弱性を解消した最新版を公開しており、該当ユーザーはアップデートするよう呼びかけている。

-PR-企画特集