2019/07/21 19:45 JST

ニュースレター「[Geeklog-Security]Geeklog 2.1.0 ファイルマネージャー(Filemanager)にXSSの危険性」を配信

  • 投稿者:
  • 表示回数 679
ニュースレター ニュースレター「[Geeklog-Security]Geeklog 2.1.0 ファイルマネージャー(Filemanager)にXSSの危険性」を配信しました。




------------------------------------------------------------
Geeklog Japan ニュースレター No.133
https://www.geeklog.jp
------------------------------------------------------------
[Geeklog-Security]Geeklog 2.1.0 ファイルマネージャー(Filemanager)にXSSの危険性
------------------------------------------------------------


Geeklog 2.1.0から同梱されているファイルマネージャー(File Manager)では、
画像加工用にWideImageというライブラリーが使用していますが、
このライブラリーに付属するデモ用のコードに
クロスサイトスクリプティング(XSS)の脆弱性が見つかりました。

この脆弱性を悪用すると、最悪の場合、アカウント乗っ取りなどが
可能になります。

この脆弱性はファイルマネージャー本体には影響を与えませんが、
悪用されると危険なため、Geeklog 2.1.0でサイトを運用されている
方は次の2つのディレクトリを削除してください。

公開領域/filemanager/connectors/php/inc/vendor/wideimage/demo
公開領域/filemanager/connectors/php/inc/vendor/wideimage/test

以上、お手数ですが、Geeklog 2.1.0をご活用の場合は、できるだけ早く
対応してくださるよう、お願いいたします。