製品・ソフトウェアに関する情報

JVN脆弱性詳細

MERAK Mail Server および VisNetic MailServer における絶対パスディレクトリトラバーサルの脆弱性

タイトル	MERAK Mail Server および VisNetic MailServer における絶対パスディレクトリトラバーサルの脆弱性
概要	(a) IceWarp Web Mail 以前の Windows 用 MERAK Mail Server および (b) VisNetic MailServer は、securepath 関数が適切にサニタイズしないため、絶対パスディレクトリトラバーサルの脆弱性が存在します。本脆弱性は、CVE-2005-4556 に関連する脆弱性です。
想定される影響	第三者により、(1) accounts/inc/include.php 内の language パラメータおよび (2) admin/inc/include.php 内の lang_setting パラメータ内のフル Windows パスおよびドライブ文字を介して、任意のファイルを含まれる可能性があります。
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日	2006年7月21日0:00
登録日	2012年12月20日18:02
最終更新日	2012年12月20日18:02

影響を受けるシステム

IceWarp, Inc.

web mail 5.6.1

merak

mail server

deerfield

visnetic mail server 8.5.0.5 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2006-0817	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0817
National Vulnerability Database (NVD)
2	CVE-2006-0817	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2006-0817

ベンダー情報

No	名前	URL
deerfield
1	Download VisNetic MailServer	http://downloads.info/windows/internet/email/visnetic-mailserver.html
icewarp
2	IceWarp Mail Server 10.4.3	http://www.icewarp.com/products/icewarp_email_server_software/

変更履歴

No	変更内容	変更日
0	[2012年12月20日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2006-0817

概要	Absolute path directory traversal vulnerability in (a) MERAK Mail Server for Windows 8.3.8r with before IceWarp Web Mail 5.6.1 and (b) VisNetic MailServer before 8.5.0.5 allows remote attackers to include arbitrary files via a full Windows path and drive letter in the (1) language parameter in accounts/inc/include.php and (2) lang_settings parameter in admin/inc/include.php, which is not properly sanitized by the securepath function, a related issue to CVE-2005-4556.
公表日	2006年7月21日23:03
登録日	2021年1月29日15:32
最終更新日	2018年10月19日1:29

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:deerfield:visnetic_mail_server:8.3.5:::::::*
cpe:2.3:a:icewarp:web_mail:5.6.0:::::::*
cpe:2.3:a:merak:mail_server:8.3.8r::windows:::::

関連情報、対策とツール

No	URL	refsource	タグ
1	http://secunia.com/advisories/18953	SECUNIA	Exploit Patch Vendor Advisory
2	http://secunia.com/advisories/18966	SECUNIA	Exploit Patch Vendor Advisory
3	http://secunia.com/secunia_research/2006-12/advisory/	MISC	Exploit Vendor Advisory
4	http://secunia.com/secunia_research/2006-14/advisory/	MISC	Exploit Vendor Advisory
5	http://securitytracker.com/id?1016513	SECTRACK
6	http://securitytracker.com/id?1016514	SECTRACK
7	http://www.osvdb.org/27328	OSVDB
8	http://www.securityfocus.com/archive/1/440297/100/0/threaded	BUGTRAQ
9	http://www.securityfocus.com/archive/1/440302/100/0/threaded	BUGTRAQ
10	http://www.securityfocus.com/bid/19002	BID	Exploit Patch
11	http://www.securityfocus.com/bid/19007	BID
12	http://www.vupen.com/english/advisories/2006/2825	VUPEN
13	http://www.vupen.com/english/advisories/2006/2826	VUPEN
14	https://exchange.xforce.ibmcloud.com/vulnerabilities/27773	XF

共通脆弱性一覧