Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「PHP FormMail Generator」の生成コードに複数の脆弱性

コード生成サービス「PHP FormMail Generator」によって作成されたPHPコードに、複数の脆弱性が含まれていることがわかった。セキュリティ機関では利用者に対して、コードを再生成して差し替えるなど、対応を講じるよう注意を呼びかけている。

同サービスを利用することにより、WordPressなどで利用できるウェブフォームのコードを作成することができるが、作成されたコードには、認証なく管理パネルへアクセスできる脆弱性「CVE-2016-9482」や、ディレクトリトラバーサルの脆弱性「CVE-2016-9484」が存在するという。

さらに信頼できない入力値をデシリアライズする脆弱性「CVE-2016-9483」が含まれており、リモートよりコードを実行されたり、「CVE-2016-9484 」と組み合わせることで、任意のファイルを取得されるおそれがあることが明らかになったという。

12月6日の時点では、作成するコードへ上記問題が生じないよう修正が行われており、再作成したコードに変更するか、過去に作成されたコードに対して利用者が対策を講じるよう注意が呼びかけられている。

(Security NEXT - 2016/12/09 ) このエントリーをはてなブックマークに追加

PR

関連記事

信金向けにサイト脆弱性診断 - SOMPOリスクマネジメント
「変なホテル」の客室ロボに脆弱性 - SNS投稿で明らかに
「Visual Studio Code」に権限昇格の脆弱性 - 修正を実施
「BIND 9.14」にサービス拒否など複数脆弱性
「Adobe Acrobat/Reader」にアップデート - 脆弱性68件を修正
「Java SE」の最新版がリリース - 脆弱性20件に対処
Oracle、定例アップデートで219件の脆弱性を修正
「Cisco Aironet」シリーズに複数の脆弱性 - 設定変更やDoSのおそれ
VMwareの「Harbor Container Registry for PCF」に深刻な脆弱性
WP向けグラフ作成プラグインにSQLiなど複数脆弱性