XOOPS Cube Legacy 2.1.6 以前に XSS 脆弱性が見つかりました

　XOOPS Cube Legacy 2.1.6 以前のバージョンに、ＸＳＳ（クロスサイトスクリプティング）脆弱性が発見されました。この脆弱性は、本日リリースしましたパッチを適用するか、カスタムテンプレートを編集することで修正することができます。

　プロジェクトにおける深刻度分類は "２:重要" です。できるだけ早いパッチ適用をお願いいたします。

　なお、ホダ塾ディストリビューションおよび XOOPS Protector 導入環境では anti-XSS 機能で問題点をガードすることが可能です。

影響を受けるシステム
* XOOPS Cube Legacy 2.1.6 およびそれ以前

想定される影響
　攻撃コードを含む悪意ある URL へユーザーを誘導することによって、ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。

パッチの適用: XOOPS Cube Legacy 2.1.6
　2.1.6a 差分パッケージをダウンロードして展開し、html ディレクトリ内のファイル群が、サーバーの公開ディレクトリの下にアップロードされるように位置をあわせ、上書きアップロードしてください。差分パッケージは、フルパッケージと同じファイルツリーになっていますので、典型的なサーバー設定では html ディレクトリの中身を public_html へ上書きコピーすることでパッチが適用されます。

　正しくパッチを適用すると、バージョン番号は 2.1.6a になります。

パッチの適用: XOOPS Cube Legacy 2.1.5 以前
　過去のバージョンに適用するための別パッケージを用意しました。このパッケージをダウンロードして展開し、html ディレクトリ内のファイル群が、サーバーの公開ディレクトリの下にアップロードされるように位置をあわせ、上書きアップロードしてください。

　なお、2.1.6 までにいくつかのセキュリティホールを修正していますので、可能であれば今回の修正にあわせて最新版の 2.1.6a へアップグレードをお願いします。

公開ディレクトリの位置について
　公開ディレクトリの位置はサーバーの設定によって決まるため、プロジェクト側も「これに従えば間違いない」というパッチの適用ガイドを出すことができません。

　フルパッケージのインストール経験がなく、サーバー側に public_html ディレクトリや html ディレクトリが見当たらず、パッチ適用の位置合わせの勘所が分からない方は、レンタルサーバー名などを書いて各掲示板でアドバイスを求めてみてください。コミュニティのみなさまには、一人でも多くのユーザーさんが出来るだけ速やかにパッチを適用できるようご協力をお願いいたします。

別の回避策（ワークアラウンド）
　何らかの事情で、しばらくの間、パッチをサーバーに送信することができない！という方は、カスタムテンプレートを直接エディットすることで問題を修正できます。互換レンダーシステムもしくは altsys のテンプレート編集機能を使用して legacy_image_list.html の編集画面を開いて、上から４行目付近

var targetDom = window.opener.xoopsGetElementById('<{$target}>');

var targetDom = window.opener.xoopsGetElementById('<{$target|escape}>');

var currentMessage = window.opener.xoopsGetElementById("<{$targetName}>").value;

var currentMessage = window.opener.xoopsGetElementById("<{$targetName|escape}>").value;