アーカイブ
XOOPSにおけるクロスサイトスクリプティングの脆弱性
2005年10月25日 | 注意喚起
SNS Advisory No.85
Problem first discovered on: Sun, 25 Sep 2005
Published on: Tue, 25 Oct 2005
脅威度
中
概要
コミュニティサイト構築用ソフトウェアである XOOPS には、クロスサイトスクリプティングの問題が複数存在しています。
詳細
XOOPS は、PHP言語を用いたコミュニティサイト構築用ソフトウェアです。
XOOPS には、"XOOPS Code"と呼ばれる、XOOPS独自のタグが用意されており、プライベートメッセージやフォーラムなどのモジュールにおいて、HTMLタグを使わずに、文字の修飾や画像の挿入を行った文章を登録することができます。
この"XOOPS Code"を HTMLタグに変換する処理において、サニタイズ処理に一部抜けが存在しています。このため、"XOOPS Code"が使用できるモジュールにおいて、任意のスクリプトを含む文章を登録することが可能です。
また、上記とは別に、フォーラムモジュール(newbb)に限定されたサニタイズ処理の抜けも存在しており、任意のスクリプトを含む文章をフォーラムに投稿することが可能です。
これらの問題点を悪用された場合、プライベートメッセージやフォーラムの投稿を表示したときに、攻撃者が登録したスクリプトを実行させられてしまいます。これによりセッションハイジャックを行われ、ログイン後の画面を自由に操作されてしまうなどの被害を受ける恐れがあります。
発見者
山崎 圭吾
影響のあるバージョン
XOOPS 2.0.12 JP およびそれ以前
XOOPS 2.0.13.1 およびそれ以前
XOOPS 2.2.3 RC1 およびそれ以前
対策
XOOPS 2.0.13 JP 以降のバージョンにアップデートしてください。
http://xoopscube.jp/modules/documents/index.php?id=1
謝辞:
本問題は、情報処理推進機構(IPA)、およびJPCERT/CCによる『情報システム等の脆弱性関連情報の届出制度』に従い届出を行いました。
http://jvn.jp/jp/JVN%2377105349/index.html
http://www.ipa.go.jp/security/vuln/documents/2005/JVN_77105349_XOOPS.html