MP Form Mail CGI Professional版・eCommerce版 ユーザーのみなさま
MP Form Mail CGI Professional版およびeCommerce版の旧バージョンに管理者権限奪取の脆弱性が存在することが確認されました。対策を施した新バージョンをリリースいたします。
概要
MP Form Mail CGI Professional版およびeCommerce版の旧バージョンには管理者権限が奪取可能である脆弱性が存在します。
影響を受けるバージョン
Professional版:バージョン 3.2.2 およびそれ以前のバージョンにおいて、上記脆弱性が存在しています。
eCommerce版:バージョン 1.3.0 およびそれ以前のバージョンにおいて、上記脆弱性が存在しています。
想定される影響
遠隔の第三者により、MP Form Mail CGI Professional版およびeCommerce版の旧バージョン 1.x の管理者になりすまされる可能性があります。
対処方法
MP Form Mail CGI Professional版およびeCommerce版の旧バージョン 1.x をご利用の方は、最新版にバージョンアップしていただきますよう、お願い申し上げます。
バージョンアップまでの回避策として、当該製品が設置されているサーバの設定等により管理者メニュー(admin.cgi)へのアクセスを不可能にすることで本脆弱性を回避できます。
以下のページより、最新版をダウンロードして下さい。
eCommerce版は、現在の最新版は Ver 2.0.0 ですが、Ver 1.x とは全く新しい製品として生まれ変わっています。Ver 1.x とは互換性がないため、緊急にVer 1.x の脆弱性対策版 Ver 1.3.1 をご用意いたしました。Ver 2.0.0 へバージョンアップが難しい場合は、こちらをダウンロードしてください。
バージョンアップ方法
バージョンアップの方法については、各製品のマニュアルをご覧ください。
eCommerce版のVer 1.3.1 をご利用になる方は、ダウンロードファイル(zipファイル)を解凍するとマニュアルが同梱されていますので、そちらをご覧ください。
関連情報
JVN#84899898 futomi's CGI Cafe 製 MP Form Mail CGI における管理者権限奪取の脆弱性
謝辞
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づきIPAおよびJPCERT/CC が弊社との調整を行いました。