| Title | MailMarshal SMTP 用の Spam Quarantine HTTP インターフェースにおけるアカウントを変更される脆弱性 |
|---|---|
| Summary | MailMarshal SMTP 用の Spam Quarantine HTTP インターフェースのパスワードリセット機能には、任意のアカウント情報を変更される脆弱性が存在します。 |
| Possible impacts | 第三者により、大量の末尾のホワイトスペースを持つ UserId 変数の後に悪質な値を介して、変数間の矛盾した長さが原因で SQL バッファ短縮が誘発され、任意のアカウント情報を変更される可能性があります。 |
| Solution | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| Publication Date | July 17, 2007, midnight |
| Registration Date | Sept. 25, 2012, 4:47 p.m. |
| Last Update | Sept. 25, 2012, 4:47 p.m. |
| CVSS2.0 : 危険 | |
| Score | 7.6 |
|---|---|
| Vector | AV:N/AC:H/Au:N/C:C/I:C/A:C |
| mailmarshal |
| mailmarshal smtp 6.2.1 未満の 6.2.0.x |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2012年09月25日] 掲載 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | The password reset feature in the Spam Quarantine HTTP interface for MailMarshal SMTP 6.2.0.x before 6.2.1 allows remote attackers to modify arbitrary account information via a UserId variable with a large amount of trailing whitespace followed by a malicious value, which triggers SQL buffer truncation due to length inconsistencies between variables. |
|---|---|
| Summary | La característica de reinicio de la contraseña en el interface Spam Quarantine HTTP para SMTP 6.2.0.x anterior 6.2.1 permite a atacantes remotos modificar cuentas de información de su elección a través de un UserId variable con una gran cantidad de espacios en blanco seguidos por un valor malicioso, el cual dispara un truncamiento SQL de búfer debido a las inconsistencias de la longitud entre las variables. |
| Publication Date | July 18, 2007, 8:30 a.m. |
| Registration Date | Jan. 29, 2021, 2:16 p.m. |
| Last Update | April 23, 2026, 9:35 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:mailmarshal:mailmarshal_smtp:*:*:*:*:*:*:*:* | 6.2.0 | ||||