更新日 : 2017/03/13 08:05
CVSS v210
CVSS v39.8
【PHP FormMail Generator で作成した PHP コードに複数の脆弱性】
2017年3月13日にPHP FormMail Generatorの脆弱性情報が公開されました。
対応が必要か検討してください。
本脆弱性は深刻度が高いため、早めの確認をお勧めいたします。
企業:PHP Form Mail Maker
CVSS v3
参考:CVSSの深刻度レベル
https://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-007710.html
JVN JVNVU#99577809
http://jvn.jp/vu/JVNVU99577809/index.html
CVE CVE-2016-9482
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9482
CVE CVE-2016-9483
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9483
CVE CVE-2016-9484
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9484
NVD CVE-2016-9482
https://nvd.nist.gov/vuln/detail/CVE-2016-9482
NVD CVE-2016-9483
https://nvd.nist.gov/vuln/detail/CVE-2016-9483
NVD CVE-2016-9484
https://nvd.nist.gov/vuln/detail/CVE-2016-9484
CERT-VN VU#494015
https://www.kb.cert.org/vuls/id/494015
CWE-22
https://jvndb.jvn.jp/ja/cwe/CWE-22.html
CWE-502
https://cwe.mitre.org/data/definitions/502.html
CWE-302
https://cwe.mitre.org/data/definitions/302.html
2017/03/13 08:05:00
最終更新日
2017/03/13 08:05:00
もっと見る >>
対応が必要か検討してください。
本脆弱性は深刻度が高いため、早めの確認をお勧めいたします。
脆弱性情報の概要
PHP FormMail Generator は、PHP アプリケーションや WordPress を使って作成されているウェブサイト上に簡易なウェブフォームを埋め込むための PHP コードを生成するウェブサービスです。PHP FormMail Generator によって作成された PHP コードには、複数の脆弱性が存在します。
PHP FormMail Generator
http://www.formmail-maker.com/generator.php
認証回避 (CWE-302) - CVE-2016-9482
遠隔の第三者が次の URL に直接アクセスすることで認証を回避し、ウェブフォームの管理パネルにアクセスする可能性があります。
/admin.php?mod=admin&func=panel
信頼できないデータのデシリアライズ (CWE-502) - CVE-2016-9483
PHP FormMail Generator で生成された PHP コードに含まれる phpfmg_filman_download() 関数は、信頼できない入力値をデシリアライズします。遠隔の第三者はこの脆弱性を使用して、サーバ上で PHP コードを実行したり、次に述べる CVE-2016-9484 と組み合わせて、ファイルインクルード攻撃によりサーバ上の任意のファイルを取得したりする可能性があります。
ディレクトリトラバーサル (CWE-22) - CVE-2016-9484
PHP FormMail Generator で生成された PHP コードは、入力されたディレクトリ名を適切に検証していないため、遠隔の第三者がディレクトリトラバーサルによってサーバ上の任意のファイルにアクセスする可能性があります。対象製品
製品:PHP FormMail Generator企業:PHP Form Mail Maker
深刻度(CVSS)
CVSS v210
9.8
参考:CVSSの深刻度レベル
スコア | CVSS v2 | CVSS v3 |
9.0~10.0 | 危険 | 緊急 |
7.0~8.9 | 危険 | 重要 |
4.0~6.9 | 警告 | 警告 |
0.1~3.9 | 注意 | 注意 |
0 | 注意 | なし |
リンク情報
JVN JVNDB-2016-007710https://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-007710.html
JVN JVNVU#99577809
http://jvn.jp/vu/JVNVU99577809/index.html
CVE CVE-2016-9482
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9482
CVE CVE-2016-9483
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9483
CVE CVE-2016-9484
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9484
NVD CVE-2016-9482
https://nvd.nist.gov/vuln/detail/CVE-2016-9482
NVD CVE-2016-9483
https://nvd.nist.gov/vuln/detail/CVE-2016-9483
NVD CVE-2016-9484
https://nvd.nist.gov/vuln/detail/CVE-2016-9484
CERT-VN VU#494015
https://www.kb.cert.org/vuls/id/494015
CWE-22
https://jvndb.jvn.jp/ja/cwe/CWE-22.html
CWE-502
https://cwe.mitre.org/data/definitions/502.html
CWE-302
https://cwe.mitre.org/data/definitions/302.html
日付情報
登録日2017/03/13 08:05:00
最終更新日
2017/03/13 08:05:00
「PHP FormMail Generator」に関する直近の脆弱性情報
更新日 : 2019/07/05 07:58
PHP FormMail Generator で作成した PHP コードに複数の脆弱性
更新日 : 2017/03/13 08:05
PHP FormMail Generator で作成した PHP コードに複数の脆弱性