Geeklog IVYWE版Assist, dataBox, userBoxプラグインにクロスサイトスクリプティング(XSS)の脆弱性

印刷用ページ
セキュリティ

Geeklog 2.1.1 IVYWE版のAssistプラグインおよびdataBox, userBoxプラグインにクロスサイトスクリプティング(XSS)の脆弱性が存在することが判明しました。
この脆弱性を悪用された場合、悪意ある第三者の攻撃により、攻撃者が用意した攻撃用URLにアクセスしたユーザの環境で不正スクリプトが実行される危険性があります。

脆弱性が発見されたGeeklogディストリビューション

Geeklog 2.1.1 IVYWE版: https://github.com/ivywe/geeklog-ivywe
対応状況: https://github.com/ivywe/geeklog-ivywe/commits/master
期間:- 2016/09/06

対応方法等、詳細は以下の記事をご覧ください。

https://www.ivywe.co.jp/article.php/xss-ivywe-distribution2

Geeklog IVYWE版にクロスサイトスクリプティング(XSS)の脆弱性

印刷用ページ
セキュリティ JPCERT/CC 脆弱性情報ハンドリングチームよりGeeklog IVYWE版にクロスサイトスクリプティング(XSS)の脆弱性が報告され、対応しました。

脆弱性関連情報識別番号(VN:)は以下の番号になります。

Geeklog IVYWE版におけるクロスサイトスクリプティングの脆弱性
JVNDB-2016-000150
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-000150.html

脆弱性が発見されたGeeklogディストリビューションについて:

Geeklog IVYWE版: https://github.com/ivywe/geeklog-ivywe
対応状況: https://github.com/ivywe/geeklog-ivywe/commits/master

対応方法等、詳細は以下の記事をご覧ください。
https://www.ivywe.co.jp/article.php/xss-ivywe-distribution


ファイルマネージャー(Filemanager)にXSSの危険性

印刷用ページ
セキュリティ

Geeklog 2.1.0から同梱されているファイルマネージャー(File Manager)では、画像加工用にWideImageというライブラリーを使用していますが、このライブラリーに付属するデモ用のコードにクロスサイトスクリプティング(XSS)の脆弱性が見つかりました。この脆弱性を悪用すると、最悪の場合、アカウントの乗っ取りなどが可能になります。

この脆弱性はファイルマネージャー本体には影響を与えませんが、悪用されると危険なため、Geeklog 2.1.0でサイトを運用されている方は次の2つのディレクトリを削除してください。

  • 公開領域/filemanager/connectors/php/inc/vendor/wideimage/demo
  • 公開領域/filemanager/connectors/php/inc/vendor/wideimage/test

以上、お手数ですが、できるだけ早く対応してくださるよう、お願いいたします。