hypweb.net
XOOPSマニア  最新情報のRSS(サイト全体)
[ 自宅サーバーWebRing |ID=54 前後5表示乱移動サイト一覧 ]

18年12月11日(Tue) 6時10分
TOP » xpWiki::Dev » xpWiki開発日記 » 2009-10-23

2009 10月 23 (金)
 

Ver 4.02.23 (特定環境下におけるXSS脆弱性の修正) anchor.png Edit

Tag: セキュリティ XSS

Page Top

概要 anchor.png Edit

Ver 4.02.17 - 4.02.22 に見つかった XSS(クロスサイトスクリプティング)脆弱性を修正しました。

この脆弱性は、ある特定の環境で運用している場合が対象となります。

  1. xpWiki のバージョンが 4.02.17 以上 4.02.22 以下である。
  2. xpWiki のレンダラーモードを利用していて、その xpWiki のデフォルト編集権限が管理者以外編集できない設定になっている。
  3. xpWiki レンダラーモードを利用しているモジュールにおいて、管理者以外も投稿可能である。

この三つの条件をすべて満たす場合にXSS攻撃の対象になります。攻撃の難易度は易しいので、方法さえ分かれば簡単に任意のHTMLを仕込むことが可能になりますので、この条件で運用している場合は、一刻も早く Ver 4.02.23 以降にバージョンアップするか、上にあげた条件を少なくとも一つ外すようにしてください。

ご迷惑及びお手数をお掛けしますが、よろしくお願い致します。

Page Top

CVS 更新内容 anchor.png Edit

+  今回の更新分
  • 2009-10-23 08:26 nao-pon
    • * version.php (1.96):
      • Version 4.02.23
  • 2009-10-23 08:25 nao-pon
    • * class/func/xpwiki_func.php (1.219):
      • FALSE is always returned in render mode in the function "is_editable_only_admin()".
Page Top

一行コメント anchor.png Edit




新しくコメントをつける

題名
ゲスト名
投稿本文

より詳細なコメント入力フォームへ

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード印刷に適した表示   ページ新規作成 全ページ一覧 単語検索 最新ページの一覧   ヘルプ   最新ページのRSS 1.0 最新ページのRSS 2.0 最新ページのRSS Atom Powered by xpWiki
Counter: 3889, today: 1, yesterday: 1
初版日時: 2009-10-23 (金) 08:45:39
最終更新: 2009-10-24 (土) 09:04:46 (JST) (3334d) by nao-pon
このページのTopへ
ログイン
ユーザ名:

パスワード:

オートログイン

Basic 認証

新規登録 | パスワード紛失



メインメニュー
付箋機能 (xpwiki)
付箋メニュー 
付箋の編集
文字色: 背景色:
お名前:  線接続id:
 
MenuBar (xpwiki)
ブックマーク
オンサイトブックマークは
ログインするとご利用になれます
[ログインする]
サイト内 Wiki
☆ 検索 ☆



高度な検索(サイト内)
FireFox検索プラグイン
オンライン状況
合計 82 人がオンライン中 :-)
(xpWiki::Dev : 2 人)

登録ユーザ: 0 & ゲスト: 82

もっと...
サイト情報
管理人

nao-pon
 

登録ユーザ数: 4580


Web Services by Yahoo! JAPAN
楽天ウェブサービスセンター
Amazon.co.jpアソシエイト
現在ページのQRコード
現在ページのQRコード
[携帯対応]
参照元情報