漏洞关键信息 漏洞编号: JVNDB-2014-000089 漏洞类型: 跨站请求伪造 (Cross-Site Request Forgery, CSRF) 描述: acmailer 的多个 CGI 程序存在跨站请求伪造漏洞。 报告者: 慶應義塾大学 稻田敬二研究グループ的 Kazuki Hirota 报告了此漏洞。 协调机构: JPCERT/CC 联合信息安全早期预警合作伙伴与开发者协调处理。 CVSS 严重性 CVSS V2 严重性: Base Metrics 5.1 (Medium) [IPA Score] - 访问向量: 网络 - 访问复杂度: 高 - 认证: 无 - 机密性影响: 部分 - 完整性影响: 部分 - 可用性影响: 部分 影响产品 厂商: Seeds Co., Ltd. 受影响版本: - acmailer 3.8.17 之前的版本 - acmailer 3.9.10 Beta 之前的版本 影响 如果用户在登录状态下查看恶意页面,产品中注册的信息可能会被改动或删除,或在某些情况下,授权特权可能会被窃取。 解决方案 更新软件到开发人员提供的最新版本。 厂商信息 厂商: Seeds Co., Ltd. acmailer 更新: 日语链接 CWE 和 CVE CWE: - 1. 跨站请求伪造(CWE-352) [IPA 评价] CVE: - 1. CVE-2014-3896 参考文献 1. JVN: JVN#42511610 2. National Vulnerability Database (NVD): CVE-2014-3896 修订历史 [2014/07/29]: 发布网页 [2014/08/01]: 新增 "参考文献" 内容