独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月10日、MicroEngine メールフォームにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。三井物産セキュアディレクション株式会社の東内裕二氏と株式会社STNetの森山響氏が報告を行っている。影響を受けるシステムは以下の通り。
MicroEngine メールフォーム バージョン 1.1.0 から 1.1.8
マイクロエンジン株式会社が提供する MicroEngine メールフォームには、アップロードするファイルの検証が不十分(CVE-2023-27397)、ディレクトリトラバーサル(CVE-2023-27507)の脆弱性が存在し、当該製品の「ファイルアップロード機能」および「サーバー保存オプション」を有効にしている場合、遠隔の第三者によってサーバ上に任意のファイルを保存され、これを実行される可能性がある。
JVNでは、開発者が提供する情報をもとに、MicroEngine メールフォーム バージョン 1.1.9 およびそれ以降の最新版へアップデートするよう呼びかけている。
![中国注目 積層セラミックコンデンサ/CISA ソフトウェア開発企業向けガイダンス公開/露 Ciscoルータ脆弱性悪用 ほか [Scan PREMIUM Monthly Executive Summary 2023年4月度] 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/41412.jpg)
