メールディーラーにおけるクロスサイトスクリプティングの脆弱性

LAC Advisory No.119

Problem first discovered on: Wed, 18 Mar 2015
Published on: Tue, 12 May 2015

脅威度

中

メールディーラーには、クロスサイトスクリプティングの脆弱性が存在します。

株式会社ラクスが提供するメールディーラー（Mail Dealer）は、問い合わせ窓口などのメールを共有して一元管理するソフトウェアです。メールディーラーには、添付ファイルのファイル名の処理に起因する格納型のクロスサイトスクリプティング (CWE-79) の脆弱性が存在します。

攻撃者によって、添付ファイルのファイル名にタグ文字が含まれる悪意あるメールを送信され、メールディーラーで受信・表示した場合に、任意のスクリプトが実行される恐れがあります。その結果、意図しないメールを送信されたり、他の無関係なメールを閲覧されたりする被害を受ける恐れがあります。

アラートボックス

メールディーラー 11.2.1 およびそれ以前

開発者が提供する情報をもとに、最新版へアップデートしてください。

[ベンダ情報]

http://support.maildealer.jp/announce/150511.php

山崎圭吾（サイバー・グリッド研究所／システムアセスメント部）

謝辞：
本問題は、情報セキュリティ早期警戒パートナーシップに基づき、ラックから IPA に報告し、JPCERT/CC により開発者との調整が行われました。

CVE番号:
CVE-2015-0915

この記事をシェアする

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

この記事は役に立ちましたか？

はいいいえ