MP Form Mail CGI eCommerce 版をご利用の方へバージョンアップのお願い

MP From Mail CGI eCommerce 版 ユーザーのみなさま

MP From Mail CGI eCommerce 版において OS コマンドインジェクションの脆弱性が確認されました。ご利用のみなさまには、お手数ながら、下記の通りの対策をお願い申し上げます。

概要

MP From Mail CGI eCommerce 版には、特定の設定でご利用の場合に、OS コマンドインジェクションの脆弱性が存在します。

影響を受けるバージョン

想定される影響

当該製品が設置されているサーバ上で、遠隔の第三者によって、任意の OS コマンドを実⾏される可能性があります。

対処方法

MP Form Mail CGI eCommerce 版をご利用の方は、最新版にバージョンアップしていただきますよう、お願い申し上げます。

バージョンアップ方法

  1. 事前に、サーバーに設置された CGI ファイル (admin.cgi および form.cgi) の 1 行目に記述されている Perl のパス (例:#!/usr/bin/perl) を確認してメモしてください。
  2. 最新版をダウンロードして、zip ファイルを解凍してください。[MP Form Mail CGI eCommerce 版 Ver 2.0.14]
  3. ダウンロードして解凍した最新版の CGI の mpmailec フォルダの中にある CGI ファイル (admin.cgi および form.cgi) の 1行目に記述されている Perl のパスが、先ほど事前に確認した Perl のパスと違っていれば、書き換えてください。なお、同じフォルダ内にある install.cgi の Perl のパスの書き換えは不要です (すでに設置された CGI に対しては使わないため)。
  4. 最新版の mpmailec フォルダをサーバーに上書きアップロードしてください。最新版を上書きしても、既存の設定は上書きされませんので、ご安心ください。ほとんどのレンタルサーバでは、mpmailec フォルダを上書きアップロードするだけでバージョンアップが完了します。

関連情報

JVN#15462187 MP Form Mail CGI eCommerce 版における OS コマンドインジェクションの脆弱性

謝辞

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき IPA および JPCERT/CC が弊社との調整を行いました。本脆弱性の発見および報告を送っていただいた方、また、情報セキュリティ早期警戒パートナーシップに基づき調整いただいた方々に御礼申し上げます。

報告者: 三井物産セキュアディレクション株式会社 ⼀ノ瀬 太樹 ⽒