アイ・ディフェンス・ジャパンからの情報によると、PHP-Nukeのfeedbackおよび"send to a friend"(友人に送信)モジュールのフィルタリング機能の欠陥により、攻撃者が任意の電子メールをスプーフィングする可能性がある。匿名ユーザーとPHP-Nukeシステムユーザーは、
国際
15views
アイ・ディフェンス・ジャパンからの情報によると、PHP-Nukeのfeedbackおよび"send to a friend"(友人に送信)モジュールのフィルタリング機能の欠陥により、攻撃者が任意の電子メールをスプーフィングする可能性がある。匿名ユーザーとPHP-Nukeシステムユーザーは、PHP-Nukeのフィードバック及び"send to a friend"モジュールを利用し、システムに代わって電子メールを生成することができる。しかし、メールヘッダーの作成に利用するユーザー提供の変数から改行復帰(CR)と改行(LF)が除去されないため、攻撃者がメールヘッダーとメール本体を作成し、最終的な電子メールの正規ヘッダーおよび本文の間に挿入できるようになる。
