Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「PHP FormMail Generator」の生成コードに複数の脆弱性

コード生成サービス「PHP FormMail Generator」によって作成されたPHPコードに、複数の脆弱性が含まれていることがわかった。セキュリティ機関では利用者に対して、コードを再生成して差し替えるなど、対応を講じるよう注意を呼びかけている。

同サービスを利用することにより、WordPressなどで利用できるウェブフォームのコードを作成することができるが、作成されたコードには、認証なく管理パネルへアクセスできる脆弱性「CVE-2016-9482」や、ディレクトリトラバーサルの脆弱性「CVE-2016-9484」が存在するという。

さらに信頼できない入力値をデシリアライズする脆弱性「CVE-2016-9483」が含まれており、リモートよりコードを実行されたり、「CVE-2016-9484 」と組み合わせることで、任意のファイルを取得されるおそれがあることが明らかになったという。

12月6日の時点では、作成するコードへ上記問題が生じないよう修正が行われており、再作成したコードに変更するか、過去に作成されたコードに対して利用者が対策を講じるよう注意が呼びかけられている。

(Security NEXT - 2016/12/09 ) このエントリーをはてなブックマークに追加

PR

関連記事

「VMware Workstation」「同Fusion」に脆弱性 - 「クリティカル」も
Apple、「iOS 17.5」などスマートデバイス向けにアップデートを公開
サーバ管理ソフトウェア「Froxlor」にXSS脆弱性 - 乗っ取りのおそれ
「macOS」にセキュリティアップデート - 複数脆弱性を修正した。
米当局、「Chromium」の脆弱性悪用に警鐘 - 派生ブラウザでも注意を
前回から4日、「Chrome」に再度アップデート - 今回もゼロデイ脆弱性を修正
「Triton Inference Server」や「ChatRTX」の脆弱性を修正 - NVIDIA
WordPress向け学習管理プラグインにSQLインジェクションの脆弱性
ゼロデイ脆弱性を修正した「Microsoft Edge」のアップデートが公開
学生の就活支援アプリ「OfferBox」に一時脆弱性 - すでに解消済み