はじめまして。貴サイトのWebFORM.cgi(V.4.0)をありがたく使わせて
いただいております。

　その動作と機能にはとても満足しております(^^)

　ところで、最近プロバイダから、フォームメールの
セキュリティ・ホールについて次のような注意を呼びかけられました：
「
フォームメールCGIの脆弱性をついた大量メールについて 
--------------------------------------------------------------------------

一部で配布されているフォームメールのセキュリティホール、脆弱性を突いた
大量メール送信行為が多数確認されております。

　原因は、問い合わせ者から送信されてくるデータのチェックが甘いことにあります。

(a)送信されてくるデータの改行コード「\n」を削除、もしくは、エスケープせず、
そのままsendmailに渡している

(b)入力データの文字列の長さのチェックをしていない

(c)問い合わせ者のメールアドレスの入力データの文字列に[,]が含まれることを
許可し、かつ、自動返信している
」
…とのことです。


　入力データの改行と文字列の長さをチェックしていない場合、悪意を持った者が
入力した余計なヘッダをsendmailに渡す結果になり、Bcc:で指定された
メールアドレス数百個に対してメールを送るような形になってしまうようです。
　すると、メールアドレス部分だけを変更し、連続してCGIにアクセスし、
短時間に数万〜20万通程度のメールを送れるようです。

　webform.cgiを読んでみましたが、カーボン・コピー処理が廃止されたこと
ぐらいしか、わかりませんでした(^^;

　spamの踏み台にされて迷惑をかけたくないので、WebFORM4.0で
上記(a)(b)(c)が対策済みかどうか、ご教示いただけると幸いです。
　よろしくお願いします。

レポートありがとうございます。
至急確認の上、修正対応いたします。
結果は新着情報にてお知らせします。

rescue様、レスありがとうございます(^^)

>至急確認の上、修正対応いたします。
　お忙しい中、お手数をおかけしまして恐縮です。
　対応をご検討いただけるようで、誠にありがとうございます。
　どうぞよろしくお願い申し上げます。

rescue様、新着情報でCGIの更新を知りました(^^)/

　お忙しい中、迅速なご対応に敬服するととともに
感謝いたします。
　セキュリティ対策版をありがたく使わせていただきます。

以上、この場を借りて御礼申し上げます。