| Title | MERAK Mail Server および VisNetic MailServer における絶対パスディレクトリトラバーサルの脆弱性 |
|---|---|
| Summary | (a) IceWarp Web Mail 以前の Windows 用 MERAK Mail Server および (b) VisNetic MailServer は、securepath 関数が適切にサニタイズしないため、絶対パスディレクトリトラバーサルの脆弱性が存在します。 本脆弱性は、CVE-2005-4556 に関連する脆弱性です。 |
| Possible impacts | 第三者により、(1) accounts/inc/include.php 内の language パラメータおよび (2) admin/inc/include.php 内の lang_setting パラメータ内のフル Windows パスおよびドライブ文字を介して、任意のファイルを含まれる可能性があります。 |
| Solution | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| Publication Date | July 21, 2006, midnight |
| Registration Date | Dec. 20, 2012, 6:02 p.m. |
| Last Update | Dec. 20, 2012, 6:02 p.m. |
| CVSS2.0 : 警告 | |
| Score | 5 |
|---|---|
| Vector | AV:N/AC:L/Au:N/C:N/I:P/A:N |
| IceWarp, Inc. |
| web mail 5.6.1 |
| merak |
| mail server |
| deerfield |
| visnetic mail server 8.5.0.5 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2012年12月20日] 掲載 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | Absolute path directory traversal vulnerability in (a) MERAK Mail Server for Windows 8.3.8r with before IceWarp Web Mail 5.6.1 and (b) VisNetic MailServer before 8.5.0.5 allows remote attackers to include arbitrary files via a full Windows path and drive letter in the (1) language parameter in accounts/inc/include.php and (2) lang_settings parameter in admin/inc/include.php, which is not properly sanitized by the securepath function, a related issue to CVE-2005-4556. |
|---|---|
| Publication Date | July 21, 2006, 11:03 p.m. |
| Registration Date | Jan. 29, 2021, 3:32 p.m. |
| Last Update | Oct. 19, 2018, 1:29 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:deerfield:visnetic_mail_server:8.3.5:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:icewarp:web_mail:5.6.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:merak:mail_server:8.3.8r:*:windows:*:*:*:*:* | |||||