ホーム > nao-pon

nao-pon

記事一覧 > XOOPSマニア::xpWiki::Dev/xpWiki開発日記 > Ver 4.02.23 (特定環境下におけるXSS脆弱性の修正)

Ver 4.02.23 (特定環境下におけるXSS脆弱性の修正)

Changes
  1. xpWiki のバージョンが 4.02.17 以上 4.02.22 以下である。
2009 10月 23 (金)
 
ページ内コンテンツ
  • Ver 4.02.23 (特定環境下におけるXSS脆弱性の修正)
    • 概要
    • CVS 更新内容
    • 一行コメント

Ver 4.02.23 (特定環境下におけるXSS脆弱性の修正) anchor.png Edit

Tag: セキュリティ XSS

Page Top

概要 anchor.png Edit

Ver 4.02.17 - 4.02.22 に見つかった XSS(クロスサイトスクリプティング)脆弱性を修正しました。

この脆弱性は、ある特定の環境で運用している場合が対象となります。

  1. xpWiki のバージョンが 4.02.17 以上 4.02.22 以下である。
  2. xpWiki のレンダラーモードを利用していて、その xpWiki のデフォルト編集権限が管理者以外編集できない設定になっている。
  3. xpWiki レンダラーモードを利用しているモジュールにおいて、管理者以外も投稿可能である。

この三つの条件をすべて満たす場合にXSS攻撃の対象になります。攻撃の難易度は易しいので、方法さえ分かれば簡単に任意のHTMLを仕込むことが可能になりますので、この条件で運用している場合は、一刻も早く Ver 4.02.23 以降にバージョンアップするか、上にあげた条件を少なくとも一つ外すようにしてください。

ご迷惑及びお手数をお掛けしますが、よろしくお願い致します。

Page Top

CVS 更新内容 anchor.png Edit

+  今回の更新分
  • 2009-10-23 08:26 nao-pon
    • * version.php (1.96):
      • Version 4.02.23
  • 2009-10-23 08:25 nao-pon
    • * class/func/xpwiki_func.php (1.219):
      • FALSE is always returned in render mode in the function "is_editable_only_admin()".
To Top