IlohaMailの偽造GET/POSTの任意の連絡先削除
medium Nessus プラグイン ID 14633
言語:
概要
リモートホストで実行されているWebメールアプリケーションは、連絡先削除の脆弱性の影響を受けます。説明
ターゲットは、バージョン0.7.9-RC2以前のIlohaMailのインスタンスを少なくとも1つ実行しています。このようなバージョンには欠陥があり、DBベースのバックエンドが連絡先の保存に使用される場合に、認証されたユーザーが任意のユーザーに属する連絡先を削除できます。この欠陥が発生するのは、include/save_contacts.MySQL.incのエントリを削除する際に「delete_item」の所有権がチェックされないためです。***** Nessusは、
***** インストールされているIlohaMailのバージョン番号を確認し、
***** ターゲットに脆弱性があると判断しました。
ソリューション
IlohaMailバージョン0.7.9以降にアップグレードしてください。プラグインの詳細
深刻度: Medium
ID: 14633
ファイル名: ilohamail_contacts_deletion.nasl
バージョン: 1.11
タイプ: remote
ファミリー: CGI abuses
公開日: 2004/9/2
更新日: 2022/8/15
リスク情報
CVSS v2
リスクファクター: Medium
Base Score: 5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
脆弱性情報
脆弱性公開日: 2003/1/23