LAC Advisory No.119

ラックアドバイザリ

メールディーラーにおけるクロスサイトスクリプティングの脆弱性

  • ツイート
 

Problem first discovered on: Wed, 18 Mar 2015
Published on: Tue, 12 May 2015

脅威度

概要

メールディーラーには、クロスサイトスクリプティングの脆弱性が存在します。

詳細

株式会社ラクスが提供するメールディーラー(Mail Dealer)は、問い合わせ窓口などのメールを共有して一元管理するソフトウェアです。メールディーラーには、添付ファイルのファイル名の処理に起因する格納型のクロスサイトスクリプティング (CWE-79) の脆弱性が存在します。

攻撃者によって、添付ファイルのファイル名にタグ文字が含まれる悪意あるメールを送信され、メールディーラーで受信・表示した場合に、任意のスクリプトが実行される恐れがあります。その結果、意図しないメールを送信されたり、他の無関係なメールを閲覧されたりする被害を受ける恐れがあります。

スクリーンショット

アラートボックス

影響を受けるバージョン

メールディーラー 11.2.1 およびそれ以前

対策

開発者が提供する情報をもとに、最新版へアップデートしてください。

[ベンダ情報]

http://support.maildealer.jp/announce/150511.php

発見者

山崎 圭吾(サイバー・グリッド研究所/システムアセスメント部)


謝辞:
本問題は、情報セキュリティ早期警戒パートナーシップに基づき、ラックから IPA に報告し、JPCERT/CC により開発者との調整が行われました。

https://jvn.jp/jp/JVN20133698/index.html

http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000063.html

CVE番号:
CVE-2015-0915

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0915

  • ツイート
 
免責:

このアドバイザリで示される情報は予告なしに改定されることがあり、かつ、あるがままの形で提供されます。この情報を適用し生起される結果のリスクは利用者が負うものとし、株式会社ラックは一切の責任を負わないものとします。

再配布について:

このアドバイザリの再配布は、下記条件を満たす限り自由です。

発行元URLとして、以下のURLを明記する。
http://www.lac.co.jp/security/alert/2015/05/12_advisory_01.html

戻る

LACメールマガジンのイメージ写真

ラックメールマガジン

情報セキュリティに関する情報をE-Mailにて、タイムリーに月2~3回の頻度でお届けします。

セキュリティ情報のイメージ写真

セキュリティ情報

ラックの中の人がセキュリティにまつわるさまざまな情報をつぶやきます。

緊急対応窓口:サイバー救急センター(R) 0120-362-119

サービスに関するお問い合わせ
受付時間:9:00~17:30

03-6757-0113

ラックホーム

ページトップへ