公開日:2011/02/24 最終更新日:2011/02/24

JVNVU#136612
Mutare Software Enabled VoiceMail (EVM) のウェブインターフェースに複数の脆弱性

概要

Mutare Software Enabled VoiceMail (EVM) のウェブインターフェースには、複数の脆弱性が存在します。

影響を受けるシステム

  • Mutare Software Enabled VoiceMail (EVM)

詳細情報

Mutare Software Enabled VoiceMail (EVM) のウェブインターフェースは、Enabled VoiceMail (EVM) の PIN を変更したり、ボイスメッセージを削除したり、ボイスメッセージを送信するメールアドレス情報を変更したりするなどの機能を提供しています。

これらの動作から発生する HTTP リクエストの検証処理が正しく行われないことに起因する、クロスサイトリクエストフォージェリおよびクロスサイトスクリプティングの脆弱性が存在します。

想定される影響

第三者が用意した悪意あるリンクにアクセスすることで、Enabled VoiceMail (EVM) の PIN を変更されたり、ボイスメッセージを削除されたり、ボイスメッセージを送信するメールアドレスを変更されたりする可能性があります。

対策方法

2011年2月24日現在、対策方法はありません。

ワークアラウンドを実施する
対策版が公開されるまでの間、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

  • Mutare Software Enable VoiceMail (EVM) ウェブインターフェースへのアクセスを制限する

ベンダ情報

参考情報

  1. US-CERT Vulnerability Note VU#136612
    Mutare Software Enabled VoiceMail (EVM) system web interface cross-site request forgery vulnerabilities

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia