2020/04/08 05:15 JST

セキュリティ

新着記事

 Geeklog情報 日本語版での活用について
 Geeklog情報 Geeklog v2.2.1本家版ダウンロードを開始
 Geeklog情報 Geeklog 勉強会
 Geeklog情報 MediaGalleryのアルバムテンプレート
 Geeklogセミナー OSCでGeeklogセミナー
 Geeklog情報 UIkit v3を活用したサムネイルナビ付きスライドショー
 Geeklogセミナー OSCでGeeklogセミナー
 Geeklogセミナー ODCでGeeklogセミナー
 Geeklog情報 Geeklog v2.2.0
 Geeklog情報 デバイスチェックのテーマ変数{device_mobile}が追加

Geeklog IVYWE版Assist, dataBox, userBoxプラグインにクロスサイトスクリプティング(XSS)の脆弱性

  • 投稿者:
  • 表示回数 2,746
セキュリティ

Geeklog 2.1.1 IVYWE版のAssistプラグインおよびdataBox, userBoxプラグインにクロスサイトスクリプティング(XSS)の脆弱性が存在することが判明しました。
この脆弱性を悪用された場合、悪意ある第三者の攻撃により、攻撃者が用意した攻撃用URLにアクセスしたユーザの環境で不正スクリプトが実行される危険性があります。

脆弱性が発見されたGeeklogディストリビューション

Geeklog 2.1.1 IVYWE版: https://github.com/ivywe/geeklog-ivywe
対応状況: https://github.com/ivywe/geeklog-ivywe/commits/master
期間:- 2016/09/06

対応方法等、詳細は以下の記事をご覧ください。

https://www.ivywe.co.jp/article.php/xss-ivywe-distribution2

Geeklog IVYWE版にクロスサイトスクリプティング(XSS)の脆弱性

  • 投稿者:
  • 表示回数 2,463
セキュリティ JPCERT/CC 脆弱性情報ハンドリングチームよりGeeklog IVYWE版にクロスサイトスクリプティング(XSS)の脆弱性が報告され、対応しました。

脆弱性関連情報識別番号(VN:)は以下の番号になります。

Geeklog IVYWE版におけるクロスサイトスクリプティングの脆弱性
JVNDB-2016-000150
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-000150.html

脆弱性が発見されたGeeklogディストリビューションについて:

Geeklog IVYWE版: https://github.com/ivywe/geeklog-ivywe
対応状況: https://github.com/ivywe/geeklog-ivywe/commits/master

対応方法等、詳細は以下の記事をご覧ください。
https://www.ivywe.co.jp/article.php/xss-ivywe-distribution


ファイルマネージャー(Filemanager)にXSSの危険性

  • 投稿者:
  • 表示回数 5,601
セキュリティ

Geeklog 2.1.0から同梱されているファイルマネージャー(File Manager)では、画像加工用にWideImageというライブラリーを使用していますが、このライブラリーに付属するデモ用のコードにクロスサイトスクリプティング(XSS)の脆弱性が見つかりました。この脆弱性を悪用すると、最悪の場合、アカウントの乗っ取りなどが可能になります。

この脆弱性はファイルマネージャー本体には影響を与えませんが、悪用されると危険なため、Geeklog 2.1.0でサイトを運用されている方は次の2つのディレクトリを削除してください。

  • 公開領域/filemanager/connectors/php/inc/vendor/wideimage/demo
  • 公開領域/filemanager/connectors/php/inc/vendor/wideimage/test

以上、お手数ですが、できるだけ早く対応してくださるよう、お願いいたします。

ページナビゲーション