XOOPS Cube Legacy 2.1.6 以前に XSS 脆弱性が見つかりました
影響を受けるシステム
* XOOPS Cube Legacy 2.1.6 およびそれ以前
想定される影響
攻撃コードを含む悪意ある URL へユーザーを誘導することによって、ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。
パッチの適用: XOOPS Cube Legacy 2.1.6
2.1.6a 差分パッケージをダウンロードして展開し、html ディレクトリ内のファイル群が、サーバーの公開ディレクトリの下にアップロードされるように位置をあわせ、上書きアップロードしてください。差分パッケージは、フルパッケージと同じファイルツリーになっていますので、典型的なサーバー設定では html ディレクトリの中身を public_html へ上書きコピーすることでパッチが適用されます。
正しくパッチを適用すると、バージョン番号は 2.1.6a になります。
パッチの適用: XOOPS Cube Legacy 2.1.5 以前
過去のバージョンに適用するための別パッケージを用意しました。このパッケージをダウンロードして展開し、html ディレクトリ内のファイル群が、サーバーの公開ディレクトリの下にアップロードされるように位置をあわせ、上書きアップロードしてください。
なお、2.1.6 までにいくつかのセキュリティホールを修正していますので、可能であれば今回の修正にあわせて最新版の 2.1.6a へアップグレードをお願いします。
公開ディレクトリの位置について
公開ディレクトリの位置はサーバーの設定によって決まるため、プロジェクト側も「これに従えば間違いない」というパッチの適用ガイドを出すことができません。
フルパッケージのインストール経験がなく、サーバー側に public_html ディレクトリや html ディレクトリが見当たらず、パッチ適用の位置合わせの勘所が分からない方は、レンタルサーバー名などを書いて各掲示板でアドバイスを求めてみてください。コミュニティのみなさまには、一人でも多くのユーザーさんが出来るだけ速やかにパッチを適用できるようご協力をお願いいたします。
別の回避策(ワークアラウンド)
何らかの事情で、しばらくの間、パッチをサーバーに送信することができない!という方は、カスタムテンプレートを直接エディットすることで問題を修正できます。互換レンダーシステムもしくは altsys のテンプレート編集機能を使用して legacy_image_list.html の編集画面を開いて、上から4行目付近
var targetDom = window.opener.xoopsGetElementById('<{$target}>');
を、
var targetDom = window.opener.xoopsGetElementById('<{$target|escape}>');
に変更してください。同様に、 legacy_misc_smilies.html の3行目付近
var currentMessage = window.opener.xoopsGetElementById("<{$targetName}>").value;
を、
var currentMessage = window.opener.xoopsGetElementById("<{$targetName|escape}>").value;
に変更します。もしカスタムテンプレートセットを作成していない場合は、上記2つのテンプレートを修正することができません。その場合はXUGJのテンプレートマニュアルを参考に、カスタムテンプレートを作成してワークアラウンドを行ってください。
謝辞
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC がベンダとの調整を行いました。
報告者: 三井物産セキュアディレクション株式会社 寺田 健 様
ご報告ありがとうございました、心より感謝いたします。
コメント(0)
