06/10/2006
E' stata riscontrata una vulnerabilità in WebFORM e FORM2MAIL, la quale potrebbe essere sfruttata da un utente remoto per bypassare alcune restrizioni di sicurezza.
La falla è dovuta al fatto che alcuni parametri non precisati non sono validati correttamente prima di essere usati per la costruzione di un messaggio email. La vulnerabilità permette ad un utente malevolo di inserire header email arbitrari in modo da inviare messaggi di spam dal server.
La vulnerabilità è stata riscontrata nelle seguenti versioni:
- WebFORM versioni 4.1 e precedenti;
- FORM2MAIL versioni 1.21 e precedenti.
Soluzione
=======
WebFORM:
Aggiornare alla versione 4.2. o successiva.
http://www.rescue.ne.jp/cgi/webform/
FORM2MAIL:
Aggiornare alla versione 1.22 o successiva.
http://www.rescue.ne.jp/cgi/form2mail/
Riferimenti
========
http://www.rescue.ne.jp/whatsnew/blog.cgi/permalink/20060216124645
http://jvn.jp/jp/JVN%2339570254/index.html
http://secunia.com/advisories/20515/
