hypweb.net
XOOPSマニア  最新情報のRSS(サイト全体)
[ 自宅サーバーWebRing |ID=54 前後5表示乱移動サイト一覧 ]

19年4月22日(Mon) 0時22分
TOP » xpWiki::Dev » xpWiki開発日記 » 2009-10-23

Fri 23 Oct 2009
 

Ver 4.02.23 (特定環境下におけるXSS脆弱性の修正) anchor.png Edit

Tag: セキュリティ XSS

Page Top

概要 anchor.png Edit

Ver 4.02.17 - 4.02.22 に見つかった XSS(クロスサイトスクリプティング)脆弱性を修正しました。

この脆弱性は、ある特定の環境で運用している場合が対象となります。

  1. xpWiki のバージョンが 4.02.17 以上 4.02.22 以下である。
  2. xpWiki のレンダラーモードを利用していて、その xpWiki のデフォルト編集権限が管理者以外編集できない設定になっている。
  3. xpWiki レンダラーモードを利用しているモジュールにおいて、管理者以外も投稿可能である。

この三つの条件をすべて満たす場合にXSS攻撃の対象になります。攻撃の難易度は易しいので、方法さえ分かれば簡単に任意のHTMLを仕込むことが可能になりますので、この条件で運用している場合は、一刻も早く Ver 4.02.23 以降にバージョンアップするか、上にあげた条件を少なくとも一つ外すようにしてください。

ご迷惑及びお手数をお掛けしますが、よろしくお願い致します。

Page Top

CVS 更新内容 anchor.png Edit

+  今回の更新分
  • 2009-10-23 08:26 nao-pon
    • * version.php (1.96):
      • Version 4.02.23
  • 2009-10-23 08:25 nao-pon
    • * class/func/xpwiki_func.php (1.219):
      • FALSE is always returned in render mode in the function "is_editable_only_admin()".
Page Top

一行コメント anchor.png Edit




Post a new comment

Subject
guestname
Body

Go to richer form

Front page   Edit Freeze Diff Backup Upload Copy Rename ReloadPrint View   New Page Page list Search Recent changes   Help   RSS of recent changes (RSS 1.0) RSS of recent changes (RSS 2.0) RSS of recent changes (RSS Atom) Powered by xpWiki
Counter: 3950, today: 1, yesterday: 1
Princeps date: 2009-10-23 (Fri) 08:45:39
Last-modified: 2009-10-24 (Sat) 09:04:46 (JST) (3466d) by nao-pon
このページのTopへ
ログイン
ユーザ名:

パスワード:

オートログイン

Basic 認証

Register now! | Lost Password?



メインメニュー
付箋機能 (xpwiki)
Fusen(Tag) menu 
Tag Editor
Color: BG:
Name:  Connect line ID:
 
MenuBar (xpwiki)
ブックマーク
Please log in to use it.
[Login]
サイト内 Wiki
☆ 検索 ☆



高度な検索(サイト内)
FireFox検索プラグイン
オンライン状況
合計 52 人がオンライン中 :-)
(xpWiki::Dev : 1 人)

登録ユーザ: 0 & ゲスト: 52

もっと...
サイト情報
管理人

nao-pon
 

登録ユーザ数: 4604


Web Services by Yahoo! JAPAN
楽天ウェブサービスセンター
Amazon.co.jpアソシエイト
現在ページのQRコード
現在ページのQRコード
[携帯対応]
参照元情報