メールフォームプロ 情報漏洩の脆弱性 について
いつもメールフォームプロをご利用いただきありがとうございます。今回、JPCERT コーディネーションセンター様よりメールフォームプロに情報漏洩の脆弱性がある旨のご報告をいただきました。
2022-08-31
つきましては脆弱性に対応したパッチ(差分データ)と脆弱性に対応したバージョンを公開いたしました。
本脆弱性に該当するのはthanks機能(サンクスページ内で送信内容を呼び出す機能)をご利用の場合に限ります。
上記機能をご利用いただいていない場合はアップデートの必要はございません。
バッチ適用の方法
- メールフォームプロ Webページよりthanks機能脆弱性への対応ファイルをダウンロードします。
- 設置済みフォームの /mailformpro/configs/thanks.cgi 内の $config{'thanks.domain'} の設定をhttpsあるいはhttpからのURLに変更します。
- 設置済みフォームの /mailformpro/librarys/thanks/ ディレクトリのファイル群をパッチファイルと差し替えます。
以上
本脆弱性はフォームからメール送信後、30秒以内にフォーム利用者が攻撃者の指定するURLにアクセスした場合のみ発生するというものなので、攻撃難度は高い方だとは思いますが、安全のためThanks機能をご利用のユーザ様はパッチの適用をお願い致します。
本脆弱性に関するお問い合わせ、ご相談は当サイトのお問い合わせフォームよりご連絡ください。
コメント欄