公開日:2014/01/14 最終更新日:2014/01/14

JVNVU#90707877
Atmail Webmail Server に複数の脆弱性

概要

Atmail.com が提供する Atmail Webmail Server には、複数の脆弱性が存在します。

影響を受けるシステム

  • Atmail Webmail Server version 7.2.0 より前のバージョン

詳細情報

Atmail.com が提供する Atmail Webmail Server には、格納型のクロスサイトスクリプティング (CWE-79) 、およびクロスサイトリクエストフォージェリ (CWE-352) の脆弱性が存在します。

想定される影響

遠隔の第三者によって、次のような影響を受ける可能性があります。

  • ユーザのウェブブラウザ上での任意のスクリプトが実行され、Cookie 情報やセンシティブな情報が漏えいする
  • 意図しないリクエスト送信によるユーザの追加や削除、およびサービスの停止

対策方法

アップデートする
開発者が提供する情報をもとに最新版にアップデートしてください。

ベンダ情報

ベンダ リンク
Major Update 7.2
Atmail Atmail

参考情報

  1. CERT/CC Vulnerability Note VU#204950
    Atmail Webmail Server version 7.1.3 contains cross-site scripting (XSS) and cross-site request forgery (CSRF) vulnerabilities

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2013-6017
CVE-2013-6028
JVN iPedia