株式会社シーズからの情報

acmailerには複数の脆弱性が存在します。
2021.01.08
https://www.acmailer.jp/info/de.cgi?id=101
2021.01.06
https://www.acmailer.jp/info/de.cgi?id=98

■想定される影響
任意のOSコマンドを実行されたり、管理者権限を取得され、サーバー上の機微な情報を搾取されたりする
メールリスト、ログインIDパスワード含む設定情報一式の漏洩
cgiファイルの破壊

■不具合が存在するacmailer、acmailer DB版 のバージョン
acmailer：ver. 4.0.2より以前のバージョン
acmailer DB版：ver. 1.1.4より以前のバージョン

■修正方法について
＜アップデートする＞
acmailer 4.0.3以降のバージョン
acmailer DB 1.1.5以降のバージョン
にアップデートしてください。

init_ctl.cgi
enq_detail.cgi
enq_detail_mail.cgi
enq_edit.cgi
enq_form.cgi
enq_list.cgi

これらのファイルが削除されているのを確認してください。
ファイルが存在しなければ脆弱性の影響を受けません。
これらのファイルはacmailerを設置しているディレクトリ直下にございます。

＜ワークアラウンド（回避策）を実施する＞
init_ctl.cgi
enq_detail.cgi
enq_detail_mail.cgi
enq_edit.cgi
enq_form.cgi
enq_list.cgi

これらのファイルを削除してください。
ファイルが存在しなければ脆弱性の影響を受けません。
これらのファイルはacmailerを設置しているディレクトリ直下にございます。


■不正アクセスの確認方法
「init_ctl.cgi」「enq_form.cgi」等へ不審なWEBアクセスログがないか、ご確認ください。