MicroEngine メールフォームにおいて複数の脆弱性が確認されました。 ファイルアップロード機能(添付ファイル機能)を利用していて、サーバー保存オプションを有効にされている場合は必ずご対応をお願いいたします。
MicroEngine メールフォーム バージョン 1.1.0 から 1.1.8
ファイルアップロード機能およびサーバー保存オプションを有効にしている場合、遠隔の第三者によってサーバ上に任意のファイルを保存され、これを実行される可能性があります。
※ サーバー保存オプションとは、フォーム投稿者によってアップロードされたファイルをメール添付ではなく、Webサーバー上に保存するオプション機能です。設定ファイル(config.ini)で save_file = 1 が指定されている場合はこの機能が有効になっています。
※ メールフォームでファイルアップロード機能を使っていない場合はこの脆弱性の影響はありません。この機能を使っている場合でも、サーバー保存オプションを使わずに、アップロードされたファイルを管理者へのメールに添付する方式だけで利用されている場合は影響ありません。
MicroEngine メールフォーム 1.1.9 以降の最新版にアップグレードしてください。
上記対策方法を実施することが難しい場合は、設定ファイル(config.ini)の [upload_file] セクションの save_file に 0 を指定して、アップロードしたファイルをサーバーに保存する機能を無効にします。同じ設定ファイルの attach_mail に 1 を指定して管理者宛のメールの添付ファイルとしてアップロードされたファイルを受け取るようにしてください。
※ この回避策を実施する場合は、メールサーバーが受信できるファイルサイズの上限を超えないようにご注意ください。
該当部分の修正例:
attach_mail = 1
save_file = 0
JVN#31701509: MicroEngine メールフォームにおける複数の脆弱性
この脆弱性情報公表にあたり、下記の報告者に謝辞を申し上げます。
報告者:
三井物産セキュアディレクション株式会社 東内 裕二 氏
株式会社STNet 森山 響 氏
2023/05/09 この脆弱性情報ページを公開しました。
2023/05/10 関連情報にJVN情報へのリンクを追加しました。
本脆弱性に関するお問い合わせは、お問い合わせフォームよりお送りください。