環境製品 生ごみ処理機販売とGeeklogによるWEB開発サービス

050-3709-1231

Geeklog IVYWE版 Assist dataBox, userBoxにクロスサイトスクリプティング(XSS)の脆弱性

おしらせ

Geeklog 2.1.1 IVYWE版のAssistプラグインおよびdataBox, userBoxプラグインにクロスサイトスクリプティング(XSS)の脆弱性が存在することが判明しました。
この脆弱性を悪用された場合、悪意ある第三者の攻撃により、攻撃者が用意した攻撃用URLにアクセスしたユーザの環境で不正スクリプトが実行される危険性があります。

脆弱性が発見されたGeeklogディストリビューション

Geeklog 2.1.1 IVYWE版: https://github.com/ivywe/geeklog-ivywe
対応状況: https://github.com/ivywe/geeklog-ivywe/commits/master
期間:- 2016/09/06

対策方法

現在活用中のplugins/assist/functions.incおよびplugins/databox/lib/databox_functions.inc, plugins/databox/lib/databox_functions.incをそれぞれ修正してください。

1) Assistプラグイン

1-1) plugins/assist/functions.inc

from:
$tpl->set_var ('currenturl', $currenturl);
to:
$tpl->set_var ('currenturl', htmlspecialchars($currenturl, ENT_QUOTES, 'UTF-8'));

2) dataBoxプラグイン

2-1) plugins/databox/functions_autotag.inc

from:
$templates->set_var ('currenturl', $currenturl);
to:
$templates->set_var ('currenturl', htmlspecialchars($currenturl, ENT_QUOTES, 'UTF-8'));

2-2) plugins/databox/lib/databox_functions.inc

from:
$tpl->set_var ('currenturl', $currenturl);
to:
$tpl->set_var ('currenturl', htmlspecialchars($currenturl, ENT_QUOTES, 'UTF-8'));

3) userBoxプラグイン

3-1) plugins/userbox/functions_autotag.inc

from:
$templates->set_var ('currenturl', $currenturl);
to:
$templates->set_var ('currenturl', htmlspecialchars($currenturl, ENT_QUOTES, 'UTF-8'));

3-2) plugins/userbox/lib/databox_functions.inc

from:
$tpl->set_var ('currenturl', $currenturl);
to:
$tpl->set_var ('currenturl', htmlspecialchars($currenturl, ENT_QUOTES, 'UTF-8'));

脆弱性がもたらす脅威

XSSフィルターが有効なブラウザーでは、自動的にこの脅威は回避されますが、XSSフィルターのモードを無効に設定した場合、以下の脅威があります。

攻撃者が用意した攻撃用URLにアクセスしたユーザの環境で不正スクリプトが実行されます。
ユーザ環境で不正スクリプトが実行されることにより、不正プログラムの感染、ユーザを騙す表示によるフィッシング詐欺、クッキー情報の取得によるセッションハイジャック、情報詐取、他の不正サイトへの誘導、などの被害に繋がります。

発見者: 今駒,哲子 土谷和子

  • Geeklog IVYWE版 Assist dataBox, userBoxにクロスサイトスクリプティング(XSS)の脆弱性
  • 0 コメント
  • アカウントの登録

以下のコメントは、その投稿者が所有するものでサイト管理者はコメントに関する責任を負いません。

共有のお願い

お役に立ちそうでしたら共有をよろしくお願いします。