XOOPSにおけるクロスサイトスクリプティングの脆弱性

現在位置

SNS Advisory No.85
XOOPS Multiple Cross-site Scripting Vulnerabilities

Problem first discovered on: Sun, 25 Sep 2005
Published on: Tue, 25 Oct 2005

脅威度：
中

概要：
コミュニティサイト構築用ソフトウェアである XOOPS には、クロスサイトスクリプティングの問題が複数存在しています。

詳細：
XOOPS は、PHP言語を用いたコミュニティサイト構築用ソフトウェアです。

XOOPS には、"XOOPS Code"と呼ばれる、XOOPS独自のタグが用意されており、プライベートメッセージやフォーラムなどのモジュールにおいて、HTMLタグを使わずに、文字の修飾や画像の挿入を行った文章を登録することができます。

この"XOOPS Code"を HTMLタグに変換する処理において、サニタイズ処理に一部抜けが存在しています。このため、"XOOPS Code"が使用できるモジュールにおいて、任意のスクリプトを含む文章を登録することが可能です。

また、上記とは別に、フォーラムモジュール(newbb)に限定されたサニタイズ処理の抜けも存在しており、任意のスクリプトを含む文章をフォーラムに投稿することが可能です。

これらの問題点を悪用された場合、プライベートメッセージやフォーラムの投稿を表示したときに、攻撃者が登録したスクリプトを実行させられてしまいます。これによりセッションハイジャックを行われ、ログイン後の画面を自由に操作されてしまうなどの被害を受ける恐れがあります。

発見者：
山崎圭吾

影響を受けるバージョン：
XOOPS 2.0.12 JP およびそれ以前
XOOPS 2.0.13.1 およびそれ以前
XOOPS 2.2.3 RC1 およびそれ以前

対策：
XOOPS 2.0.13 JP 以降のバージョンにアップデートしてください。
http://xoopscube.jp/modules/documents/index.php?id=1

謝辞：
本問題は、情報処理推進機構（IPA）、およびJPCERT/CCによる『情報システム等の脆弱性関連情報の届出制度』に従い届出を行いました。

免責：
このアドバイザリで示される情報は予告なしに変更されることがあり、かつ、あるがままの形で提供されます。この情報を適用し生起される結果のリスクは利用者が負うものとし、株式会社ラックは一切の責任を負わないものとします。

再配布について：
このアドバイザリの再配布は、下記条件を満たす限り自由です。

発行元URLとして、以下のURLを明記する。
http://www.lac.co.jp/info/advisory/85.html

サイトガイド