e107 email.phpの任意メール中継

medium Nessus プラグイン ID 21621

Language:

概要

リモートのWebサーバーには、任意のメールメッセージの送信に使用される可能性があるPHPスクリプトが含まれています。

説明

リモートホストにインストールされているe107のバージョンには、「email.php」というスクリプトが含まれています。これにより、認証されていないユーザーが任意のユーザーにメールメッセージを送信したり、メッセージの内容の大部分をコントロールすることが可能になります。この問題が悪用されると、影響を受けるシステムを通じて、スパムなどに悪用された送信が行われる可能性があります。

ソリューション

影響を受けるスクリプトを削除するか、「captcha」システムを使用して、この問題の自動化された悪用を最小限に抑えるe107バージョン0.7.5以降にアップグレードしてください。

参考資料

http://e107.org/e107_plugins/forum/forum_viewtopic.php?66179

https://e107.org/comment.php?comment.news.788

プラグインの詳細

深刻度: Medium

ID: 21621

ファイル名: e107_email_injection.nasl

バージョン: 1.22

タイプ: remote

ファミリー: CGI abuses

公開日: 2006/5/31

更新日: 2022/4/11

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 2.7

CVSS v2

リスクファクター: Medium

基本値: 5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

脆弱性情報

CPE: cpe:/a:e107:e107

必要な KB アイテム: www/e107

Nessus によりエクスプロイト済み: true

パッチ公開日: 2006/5/23

脆弱性公開日: 2006/5/23

参照情報

CVE: CVE-2006-2591