XOOPSにおけるクロスサイトスクリプティングの脆弱性

SNS Advisory No.85

Problem first discovered on: Sun, 25 Sep 2005
Published on: Tue, 25 Oct 2005

脅威度

中

コミュニティサイト構築用ソフトウェアである XOOPS には、クロスサイトスクリプティングの問題が複数存在しています。

XOOPS は、PHP言語を用いたコミュニティサイト構築用ソフトウェアです。

XOOPS には、"XOOPS Code"と呼ばれる、XOOPS独自のタグが用意されており、プライベートメッセージやフォーラムなどのモジュールにおいて、HTMLタグを使わずに、文字の修飾や画像の挿入を行った文章を登録することができます。

この"XOOPS Code"を HTMLタグに変換する処理において、サニタイズ処理に一部抜けが存在しています。このため、"XOOPS Code"が使用できるモジュールにおいて、任意のスクリプトを含む文章を登録することが可能です。

また、上記とは別に、フォーラムモジュール(newbb)に限定されたサニタイズ処理の抜けも存在しており、任意のスクリプトを含む文章をフォーラムに投稿することが可能です。

これらの問題点を悪用された場合、プライベートメッセージやフォーラムの投稿を表示したときに、攻撃者が登録したスクリプトを実行させられてしまいます。これによりセッションハイジャックを行われ、ログイン後の画面を自由に操作されてしまうなどの被害を受ける恐れがあります。

山崎圭吾

XOOPS 2.0.12 JP およびそれ以前
XOOPS 2.0.13.1 およびそれ以前
XOOPS 2.2.3 RC1 およびそれ以前

XOOPS 2.0.13 JP 以降のバージョンにアップデートしてください。

謝辞：
本問題は、情報処理推進機構（IPA）、およびJPCERT/CCによる『情報システム等の脆弱性関連情報の届出制度』に従い届出を行いました。

この記事をシェアする

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

この記事は役に立ちましたか？

はいいいえ