Geeklog 2.1.1 IVYWE版にクロスサイトスクリプティング(XSS)の脆弱性が存在することが判明しました。
この脆弱性を悪用された場合、悪意ある第三者の攻撃により、攻撃者が用意した攻撃用URLにアクセスしたユーザの環境で不正スクリプトが実行される危険性があります。
この問題の影響を受けるGeeklog IVYWEバージョンを以下に示しますので、以下の修正方法を適用してください。
脆弱性が発見されたGeeklogディストリビューション
Geeklog 2.1.1 IVYWE版: https://github.com/ivywe/geeklog-ivywe
対応状況: https://github.com/ivywe/geeklog-ivywe/commits/master
期間:2015/12/31 - 2016/08/16
対策方法
現在活用中のテーマディレクトリにおけるheader.thtmlおよびarticle/article.thtmlをそれぞれ修正してください。
配布パッケージにおける該当ソースファイル:
public_html/layout/default/header.thtml
public_html/layout/bento/header.thtml
public_html/layout/fotos/header.thtml
public_html/layout/default/article/article.thtml
修正方法
以下のファイルの該当箇所を検索してそれぞれ修正してください。
1) public_html/layout/現在利用しているテーマ/header.thtml 修正内容
from:
<?php echo COM_getCurrentURL(); ?>
to:
<?php echo htmlspecialchars(COM_getCurrentURL(), ENT_QUOTES, 'utf-8'); ?>
2) public_html/layout/現在利用しているテーマ/article/article.thtml 修正内容
from:
<?php echo COM_getCurrentURL(); ?>
to:
{site_url}/article.php/{story_id}
以上のファイルをご利用中の方は、至急ご対応くださいますよう、おねがいします。