LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

登録する
注意喚起 | 

SquirrelMailにおけるクロスサイトスクリプティングの脆弱性

シェアボタンを表示

SNS Advisory No.86

Problem first discovered on: Tue, 15 Nov 2005
Published on: Tue, 4 Apr 2006
Modifid on: Mon, 24 Apr 2006

脅威度

概要

WebメールシステムであるSquirrelMailには、HTMLメールに含まれるスクリプトを適切に除去できていない問題が存在しています。

詳細

SquirrelMailは、PHP言語で開発されたウェブメールシステムです。

SquirrelMailには、受信したHTMLメールを表示する際に、スクリプトを除去して安全に表示する機能が備わっています。

しかしながら、このスクリプトの除去機能には抜けが存在しています。

このため、攻撃者から、この問題を悪用するHTMLメールを受け取り、表示してしまった場合に、本人になりすまされてシステムを操作されてしまうなどの被害を受ける恐れがあります。

影響のあるバージョン

SquirrelMail 1.4.0~1.4.6 Release Candidate

対策

SquirrelMail 1.4.6以降のバージョンにアップデートしてください。

http://www.squirrelmail.org/download.php

発見者

山崎 圭吾(ラック)

謝辞:
本問題は、情報処理推進機構(IPA)、およびJPCERT/CCによる『情報システム等の脆弱性関連情報の届出制度』に従い届出を行いました。

http://jvn.jp/jp/JVN%2383263796/index.html

http://www.ipa.go.jp/security/vuln/documents/2006/JVN_83263796_SquirrelMail.html

この記事をシェアする

  • Xでシェア
  • Facebookでシェア
  • はてなブックマークに追加
  • noteで書く
  • noteで書く

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

登録する

この記事は役に立ちましたか?

はい いいえ

関連記事

LAC WATCH

関連記事をご紹介します

よく読まれている記事

タグ

page top