製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

SpamAssassin Milter プラグインにおける任意のシステムコマンドを実行される脆弱性

タイトル	SpamAssassin Milter プラグインにおける任意のシステムコマンドを実行される脆弱性
概要	SpamAssassin Milter プラグインの spamass-milter.cpp の mlfi_envrcpt 関数は、拡張オプションを使用している際、任意のシステムコマンドを実行される脆弱性が存在します。
想定される影響	第三者により、電子メールメッセージの RCPT TO フィールド内のシェルメタキャラクタを介して、任意のシステムコマンドを実行される可能性があります。
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日	2010年3月27日0:00
登録日	2012年6月26日16:19
最終更新日	2012年6月26日16:19

CVSS2.0 : 危険
スコア	9.3
ベクター	AV:N/AC:M/Au:N/C:C/I:C/A:C

影響を受けるシステム

georg greve

spamassassin milter plugin 0.3.1

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2010-1132	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1132
National Vulnerability Database (NVD)
2	CVE-2010-1132	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-1132

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-78	https://jvndb.jvn.jp/ja/cwe/CWE-78.html

ベンダー情報

No	名前	URL
georg greve
1	Top Page	http://savannah.nongnu.org/projects/spamass-milt/

変更履歴

No	変更内容	変更日
0	[2012年06月26日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2010-1132

概要	The mlfi_envrcpt function in spamass-milter.cpp in SpamAssassin Milter Plugin 0.3.1, when using the expand option, allows remote attackers to execute arbitrary system commands via shell metacharacters in the RCPT TO field of an email message.
公表日	2010年3月28日4:07
登録日	2021年1月29日10:59
最終更新日	2017年8月17日10:32

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:georg_greve:spamassassin_milter_plugin:0.3.1:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	http://archives.neohapsis.com/archives/fulldisclosure/2010-03/0139.html	FULLDISC	Exploit
2	http://bugs.debian.org/573228	CONFIRM
3	http://lists.fedoraproject.org/pipermail/package-announce/2010-April/038535.html	FEDORA
4	http://lists.fedoraproject.org/pipermail/package-announce/2010-April/038572.html	FEDORA
5	http://lists.fedoraproject.org/pipermail/package-announce/2010-April/038777.html	FEDORA
6	http://osvdb.org/62809	OSVDB
7	http://secunia.com/advisories/38840	SECUNIA	Vendor Advisory
8	http://secunia.com/advisories/38956	SECUNIA	Vendor Advisory
9	http://secunia.com/advisories/39265	SECUNIA	Vendor Advisory
10	http://www.debian.org/security/2010/dsa-2021	DEBIAN
11	http://www.exploit-db.com/exploits/11662	EXPLOIT-DB	Exploit
12	http://www.securityfocus.com/bid/38578	BID	Exploit
13	http://www.securitytracker.com/id?1023691	SECTRACK
14	http://www.vupen.com/english/advisories/2010/0559	VUPEN	Vendor Advisory
15	http://www.vupen.com/english/advisories/2010/0683	VUPEN	Vendor Advisory
16	http://www.vupen.com/english/advisories/2010/0837	VUPEN	Vendor Advisory
17	https://bugzilla.redhat.com/show_bug.cgi?id=572117	CONFIRM
18	https://exchange.xforce.ibmcloud.com/vulnerabilities/56732	XF
19	https://savannah.nongnu.org/bugs/?29136	CONFIRM

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-78	OSコマンド・インジェクション	https://cwe.mitre.org/data/definitions/78.html