用語「csvmail.cgi」について
csvmail.cgi (しーえすぶいめいるしーじーあい)
かつてファーストサーバーの標準 CGI として使用されていたCGI プログラムです。大まかに言うと
- 送られてきたフォームデータを CSV 形式でファイルに保存する
- 送られてきたフォームデータをメールで送信する
という機能を持っていました。おそらく「CSVで保存しつつメール送信」するところから csvmail という名前が付けられたのでしょう。
この CGI はテンプレートファイルやメール送信先を外部入力で指定するようになっていた上、それを全くサニタイズしていませんでしたので、以下のような脆弱性がありました。
また、この CGI は POST されてきたデータのログを /virtual/cgi-data/csvmail.log に保存するようになっていました。そしてディレクトリトラバーサルによってこの csvmail.log の内容を読み出すことができたため、投稿された全てのデータが外部に公開されているも同然の状態でした。
※このログ保存はドキュメントに記載されていない機能です。おそらくデバッグ用のものが残っていたのでしょう。
この csvmail.cgi が ASK ACCS の「質問フォーム」「機関メンバーお申し込みフォーム」「個人メンバーお申し込みフォーム」で使用されていました。そして起きたのが ASK ACCS 個人情報漏洩事件です。
- 「csvmail.cgi」にコメントを書く
