公開日: 2021/01/14  最終更新日: 2021/01/14

株式会社シーズからの情報

脆弱性識別番号:JVN#35906450
脆弱性タイトル:acmailer における複数の脆弱性
ステータス:該当製品あり

以下の情報は、製品開発者から JVN に提供されたものです。

acmailerには複数の脆弱性が存在します。
2021.01.08
https://www.acmailer.jp/info/de.cgi?id=101
2021.01.06
https://www.acmailer.jp/info/de.cgi?id=98

■想定される影響
任意のOSコマンドを実行されたり、管理者権限を取得され、サーバー上の機微な情報を搾取されたりする
メールリスト、ログインIDパスワード含む設定情報一式の漏洩
cgiファイルの破壊

■不具合が存在するacmailer、acmailer DB版 のバージョン
acmailer:ver. 4.0.2より以前のバージョン
acmailer DB版:ver. 1.1.4より以前のバージョン

■修正方法について
<アップデートする>
acmailer 4.0.3以降のバージョン
acmailer DB 1.1.5以降のバージョン
にアップデートしてください。

init_ctl.cgi
enq_detail.cgi
enq_detail_mail.cgi
enq_edit.cgi
enq_form.cgi
enq_list.cgi

これらのファイルが削除されているのを確認してください。
ファイルが存在しなければ脆弱性の影響を受けません。
これらのファイルはacmailerを設置しているディレクトリ直下にございます。

<ワークアラウンド(回避策)を実施する>
init_ctl.cgi
enq_detail.cgi
enq_detail_mail.cgi
enq_edit.cgi
enq_form.cgi
enq_list.cgi

これらのファイルを削除してください。
ファイルが存在しなければ脆弱性の影響を受けません。
これらのファイルはacmailerを設置しているディレクトリ直下にございます。


■不正アクセスの確認方法
「init_ctl.cgi」「enq_form.cgi」等へ不審なWEBアクセスログがないか、ご確認ください。