独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は10月4日、株式会社ネオジャパンが提供するWebメールシステム「Denbun」に複数の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3による最大Base Scoreは9.8。影響を受けるバージョンは次の通り。・Denbun POP 版 V3.3P R4.0 およびそれ以前・Denbun IMAP 版 V3.3I R4.0 およびそれ以前(CVE-2018-0680、CVE-2018-0681、CVE-2018-0682、CVE-2018-0683、CVE-2018-0686、CVE-2018-0687)・Denbun POP 版 V3.3P R3.0 およびそれ以前・Denbun IMAP 版 V3.3I R3.0 およびそれ以前(CVE-2018-0684)・Denbun POP 版 V3.3P R4.0 およびそれ以前(CVE-2018-0685)これらのバージョンには、ユーザアカウントに関する認証情報がハードコードされている問題(CVE-2018-0680)、管理設定画面に関する認証情報がハードコードされている問題(CVE-2018-0681)、セッション管理不備(CVE-2018-0682)、Cookie データの処理に起因するスタックベースのバッファオーバーフロー(CVE-2018-0683)、multipart/form-data 形式データの処理に起因するスタックベースのバッファオーバーフロー(CVE-2018-0684)、メール検索に関する HTTP リクエストの処理における SQL インジェクション(CVE-2018-0685)、任意の実行ファイルをアップロード可能な脆弱性(CVE-2018-0686)、HTML メールの表示機能にクロスサイトスクリプティング(CVE-2018-0687)の脆弱性が存在する。JVNでは、CVE-2018-0686はワークアラウンドによる対応が必要であるが、それ以外の脆弱性については最新版へのアップデートで脆弱性を解消できるとしている。
![[学術研究] 主要セキュリティ対策の費用対効果ランキング 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/24902.jpg)
