-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- SASE
- デジタルアイデンティティ
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
SNS Advisory No.85
Problem first discovered on: Sun, 25 Sep 2005
Published on: Tue, 25 Oct 2005
脅威度
中
概要
コミュニティサイト構築用ソフトウェアである XOOPS には、クロスサイトスクリプティングの問題が複数存在しています。
詳細
XOOPS は、PHP言語を用いたコミュニティサイト構築用ソフトウェアです。
XOOPS には、"XOOPS Code"と呼ばれる、XOOPS独自のタグが用意されており、プライベートメッセージやフォーラムなどのモジュールにおいて、HTMLタグを使わずに、文字の修飾や画像の挿入を行った文章を登録することができます。
この"XOOPS Code"を HTMLタグに変換する処理において、サニタイズ処理に一部抜けが存在しています。このため、"XOOPS Code"が使用できるモジュールにおいて、任意のスクリプトを含む文章を登録することが可能です。
また、上記とは別に、フォーラムモジュール(newbb)に限定されたサニタイズ処理の抜けも存在しており、任意のスクリプトを含む文章をフォーラムに投稿することが可能です。
これらの問題点を悪用された場合、プライベートメッセージやフォーラムの投稿を表示したときに、攻撃者が登録したスクリプトを実行させられてしまいます。これによりセッションハイジャックを行われ、ログイン後の画面を自由に操作されてしまうなどの被害を受ける恐れがあります。
発見者
山崎 圭吾
影響のあるバージョン
XOOPS 2.0.12 JP およびそれ以前
XOOPS 2.0.13.1 およびそれ以前
XOOPS 2.2.3 RC1 およびそれ以前
対策
XOOPS 2.0.13 JP 以降のバージョンにアップデートしてください。
http://xoopscube.jp/modules/documents/index.php?id=1
謝辞:
本問題は、情報処理推進機構(IPA)、およびJPCERT/CCによる『情報システム等の脆弱性関連情報の届出制度』に従い届出を行いました。
http://jvn.jp/jp/JVN%2377105349/index.html
http://www.ipa.go.jp/security/vuln/documents/2005/JVN_77105349_XOOPS.html
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- SASE
- デジタルアイデンティティ
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR