MP Form Mail CGI eCommerce 版をWindowsサーバーでご利用の方へバージョンアップのお願い

MP From Mail CGI eCommerce 版 ユーザーのみなさま

MP From Mail CGI eCommerce 版において、Windows サーバーでご利用の場合に限り、コードインジェクションの脆弱性が確認されました。ご利用のみなさまには、お手数ながら、下記の通りの対策をお願い申し上げます。

概要

MP From Mail CGI eCommerce 版には、Windows サーバーでご利用の場合に限り、コードインジェクションの脆弱性が存在します。本 CGI は、Windows サーバーでの動作はサポートしておりませんが、実際には Windows サーバーでも動作させることが可能であり、また、実際に Windows サーバーでの利用が確認されているため、本脆弱性の対応を実施いたしました。

影響を受けるバージョン

※ 本 CGI を Linux サーバーなど、Windows サーバー以外のサーバーでご利用の場合は、本脆弱性の影響を受けません。

想定される影響

当該製品が設置されているサーバ上で、任意の Perl コードを実行される可能性があります。

対処方法

MP Form Mail CGI eCommerce 版を Windows サーバーにてご利用の方は、最新版にバージョンアップしていただきますよう、お願い申し上げます。

バージョンアップ方法

  1. 事前に、サーバーに設置された CGI ファイル (admin.cgi または form.cgi) の 1 行目に記述されている Perl のパス (例:#!C:/perl/bin/perl) を確認してメモしてください。
  2. 最新版をダウンロードして、zip ファイルを解凍してください。[MP Form Mail CGI eCommerce 版 Ver 2.0.12]
  3. ダウンロードして解凍した最新版の CGI の mpmailec フォルダの中にある CGI ファイル (admin.cgi および form.cgi) の 1行目に記述されている Perl のパスを、先ほど事前に確認した Perl のパスに書き換えてください。なお、同じフォルダ内にある install.cgi の Perl のパスの書き換えは不要です (すでに設置された CGI に対しては使わないため)。
  4. 最新版の mpmailec フォルダをサーバーに上書きアップロードしてください。最新版を上書きしても、既存の設定は上書きされませんので、ご安心ください。ほとんどのレンタルサーバでは、mpmailec フォルダを上書きアップロードするだけでバージョンアップが完了します。

関連情報

JVN#39175666 MP Form Mail CGI eCommerce版 におけるコードインジェクションの脆弱性

謝辞

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき IPA および JPCERT/CC が弊社との調整を行いました。本脆弱性の発見および報告を送っていただいた方、また、情報セキュリティ早期警戒パートナーシップに基づき調整いただいた方々に御礼申し上げます。