ファイルマネージャー(Filemanager)にXSSの危険性

セキュリティ

Geeklog 2.1.0から同梱されているファイルマネージャー(File Manager)では、画像加工用にWideImageというライブラリーを使用していますが、このライブラリーに付属するデモ用のコードにクロスサイトスクリプティング(XSS)の脆弱性が見つかりました。この脆弱性を悪用すると、最悪の場合、アカウントの乗っ取りなどが可能になります。

この脆弱性はファイルマネージャー本体には影響を与えませんが、悪用されると危険なため、Geeklog 2.1.0でサイトを運用されている方は次の2つのディレクトリを削除してください。

  • 公開領域/filemanager/connectors/php/inc/vendor/wideimage/demo
  • 公開領域/filemanager/connectors/php/inc/vendor/wideimage/test

以上、お手数ですが、できるだけ早く対応してくださるよう、お願いいたします。