メールフォーム系緊急アップデート
メールフォームCGIとメールフォームプロにコマンドインジェクションの危険性があるとご指摘いただきました。
2009-02-08 23:43:39
メールフォームCGIとメールフォームプロにコマンドインジェクションの危険性があるとご指摘いただきました。
メールフォームCGI・メールフォームCGI UTF-8版・メールフォームプロにコマンドインジェクションの危険性があるとご指摘頂きました。ほんと誠にお手数とは存じますが、ソースコードの改修又は、最新版へのアップデートをお願いいたします。
ほんと、すいません・・・。
大部分のメールフォームでは2~3行程度の変更で対処できるため、壮絶な改修作業にはならないと思いますが、とにかくお手間を取らせてしまいましてホントすいません。いや、ほんとほんとすいません・・・。
アップデート方法は以下の通りです。
メールフォーム プロ 2.0.x 系
send.cgi 71行目~73行目くらいにある
if($form{'email'} eq $null){
$form{'email'} = $mailto[0];
}
を
if($form{'email'} =~ /[^a-zA-Z0-9\.\@\-\_\+]/ ">| split(/\@/,$form{'email'}) != 2){
$form{'email'} = $mailto[0];
}
メールフォーム CGI 6.0、メールフォーム CGI UTF-8版 6.0
send.cgiの127行目~129行目くらいにある
if($mailfrom eq $null){
$mailfrom = $mailto[0];
}
を
if($mailfrom =~ /[^a-zA-Z0-9\.\@\-\_\+]/ ">| split(/\@/,$mailfrom) != 2){
$mailfrom = $mailto[0];
}
メールフォーム CGI 5.x、メールフォーム CGI UTF-8版 5.x
send.cgiの161行目~163行目くらい
if($email eq $null){
$email = $mailto[0];
}
を
if($email =~ /[^a-zA-Z0-9\.\@\-\_\+]/ ">| split(/\@/,$email) != 2){
$email = $mailto[0];
}
※メールフォーム 5 以前のバージョンはスパムの踏み台になる可能性もあるため、できればしっかりバージョンアップしてください。
方法がよくわからない場合はサポートBBSかサポートフォームよりご質問ください。
ほんっとうにスイマセンでした。