IlohaMailの偽造GET/POSTの任意の連絡先削除

medium Nessus プラグイン ID 14633

概要

リモートホストで実行されているWebメールアプリケーションは、連絡先削除の脆弱性の影響を受けます。

説明

ターゲットは、バージョン0.7.9-RC2以前のIlohaMailのインスタンスを少なくとも1つ実行しています。このようなバージョンには欠陥があり、DBベースのバックエンドが連絡先の保存に使用される場合に、認証されたユーザーが任意のユーザーに属する連絡先を削除できます。この欠陥が発生するのは、include/save_contacts.MySQL.incのエントリを削除する際に「delete_item」の所有権がチェックされないためです。

***** Nessusは、
***** インストールされているIlohaMailのバージョン番号を確認し、
***** ターゲットに脆弱性があると判断しました。

ソリューション

IlohaMailバージョン0.7.9以降にアップグレードしてください。

プラグインの詳細

深刻度: Medium

ID: 14633

ファイル名: ilohamail_contacts_deletion.nasl

バージョン: 1.11

タイプ: remote

ファミリー: CGI abuses

公開日: 2004/9/2

更新日: 2022/8/15

サポートされているセンサー: Nessus

リスク情報

CVSS v2

リスクファクター: Medium

Base Score: 5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

脆弱性情報

脆弱性公開日: 2003/1/23