hypweb.net
XOOPSマニア  最新情報のRSS(サイト全体)
[ 自宅サーバーWebRing |ID=54 前後5表示乱移動サイト一覧 ]

TOP » xpwiki » xpWiki開発日記 » 2009-10-23
2009 10月 23 (金)
 
ページ内コンテンツ

Ver 4.02.23 (特定環境下におけるXSS脆弱性の修正) anchor.png Edit

Tag: セキュリティ XSS

Page Top

概要 anchor.png Edit

Ver 4.02.17 - 4.02.22 に見つかった XSS(クロスサイトスクリプティング)脆弱性を修正しました。

この脆弱性は、ある特定の環境で運用している場合が対象となります。

  1. xpWiki のバージョンが 4.02.17 以上 4.02.22 以下である。
  2. xpWiki のレンダラーモードを利用していて、その xpWiki のデフォルト編集権限が管理者以外編集できない設定になっている。
  3. xpWiki レンダラーモードを利用しているモジュールにおいて、管理者以外も投稿可能である。

この三つの条件をすべて満たす場合にXSS攻撃の対象になります。攻撃の難易度は易しいので、方法さえ分かれば簡単に任意のHTMLを仕込むことが可能になりますので、この条件で運用している場合は、一刻も早く Ver 4.02.23 以降にバージョンアップするか、上にあげた条件を少なくとも一つ外すようにしてください。

ご迷惑及びお手数をお掛けしますが、よろしくお願い致します。

Page Top

CVS 更新内容 anchor.png Edit

+  今回の更新分
  • 2009-10-23 08:26 nao-pon
    • * version.php (1.96):
      • Version 4.02.23
  • 2009-10-23 08:25 nao-pon
    • * class/func/xpwiki_func.php (1.219):
      • FALSE is always returned in render mode in the function "is_editable_only_admin()".
Page Top

一行コメント anchor.png Edit


添付ファイル:
トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード印刷に適した表示   ページ新規作成 全ページ一覧 単語検索 最新ページの一覧   ヘルプ   最新ページのRSS 1.0 最新ページのRSS 2.0 最新ページのRSS Atom Powered by xpWiki
ぺージ情報
ぺージ名 :xpWiki開発日記/2009-10-23
ページ別名 :未設定
ページオーナー :nao-pon
閲覧可
グループ :すべての訪問者
ユーザー :すべての訪問者
編集可
グループ :すべての訪問者
ユーザー :すべての訪問者
Counter: 186, today: 1, yesterday: 0
初版日時: 2009-10-23 (金) 08:45:39
最終更新: 2009-10-24 (土) 09:04:46 (JST) (6046d) by nao-pon
リンクページ: xpWiki開発日記 xpWiki レンダラー xpWiki Ver 4.02.24 (Amazon関連プラグインの修正) Ver 4.02.22 (Amazon関連プラグインの修正、機能についてのリクエスト対応など) nao-pon

サイト管理者: nao-pon

このページのTopへ
メインメニュー
ログイン

ユーザー名:


パスワード:





パスワード紛失  |新規登録
オンライン状況
681 人のユーザが現在オンラインです。 (2 人のユーザが xpwiki を参照しています。)

登録ユーザ: 0
ゲスト: 681

もっと...
サイト情報
Web Services by Yahoo! JAPAN
楽天ウェブサービスセンター