2017年3月13日にPHP FormMail Generatorの脆弱性情報が公開されました。
対応が必要か検討してください。
本脆弱性は深刻度が高いため、早めの確認をお勧めいたします。
PHP FormMail Generator は、PHP アプリケーションや WordPress を使って作成されているウェブサイト上に簡易なウェブフォームを埋め込むための PHP コードを生成するウェブサービスです。PHP FormMail Generator によって作成された PHP コードには、複数の脆弱性が存在します。 PHP FormMail Generator http://www.formmail-maker.com/generator.php 認証回避 (CWE-302) - CVE-2016-9482 遠隔の第三者が次の URL に直接アクセスすることで認証を回避し、ウェブフォームの管理パネルにアクセスする可能性があります。 　　/admin.php?mod=admin&func=panel 信頼できないデータのデシリアライズ (CWE-502) - CVE-2016-9483 PHP FormMail Generator で生成された PHP コードに含まれる phpfmg_filman_download() 関数は、信頼できない入力値をデシリアライズします。遠隔の第三者はこの脆弱性を使用して、サーバ上で PHP コードを実行したり、次に述べる CVE-2016-9484 と組み合わせて、ファイルインクルード攻撃によりサーバ上の任意のファイルを取得したりする可能性があります。 ディレクトリトラバーサル (CWE-22) - CVE-2016-9484 PHP FormMail Generator で生成された PHP コードは、入力されたディレクトリ名を適切に検証していないため、遠隔の第三者がディレクトリトラバーサルによってサーバ上の任意のファイルにアクセスする可能性があります。
製品：PHP FormMail Generator
企業：PHP Form Mail Maker
CVSS v2
CVSS v3

参考：CVSSの深刻度レベル

スコア	CVSS v2	CVSS v3
9.0～10.0	危険	緊急
7.0～8.9	危険	重要
4.0～6.9	警告	警告
0.1～3.9	注意	注意
0	注意	なし

JVN JVNDB-2016-007710
https://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-007710.html
JVN JVNVU#99577809
http://jvn.jp/vu/JVNVU99577809/index.html
CVE CVE-2016-9482
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9482
CVE CVE-2016-9483
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9483
CVE CVE-2016-9484
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9484
NVD CVE-2016-9482
https://nvd.nist.gov/vuln/detail/CVE-2016-9482
NVD CVE-2016-9483
https://nvd.nist.gov/vuln/detail/CVE-2016-9483
NVD CVE-2016-9484
https://nvd.nist.gov/vuln/detail/CVE-2016-9484
CERT-VN VU#494015
https://www.kb.cert.org/vuls/id/494015
CWE-22
https://jvndb.jvn.jp/ja/cwe/CWE-22.html
CWE-502
https://cwe.mitre.org/data/definitions/502.html
CWE-302
https://cwe.mitre.org/data/definitions/302.html
登録日
2017/03/13 08:05:00
最終更新日
2017/03/13 08:05:00
もっと見る >>