ようこそ! シコーサクゴ Geeklog 2010年3月11日(木) 14:38 JST

mycaljpプラグインにXSSの脆弱性が発見されました

投稿者: dengen  2009年8月20日(木) 20:28 JST
おしらせ

[重要] サイトカレンダmycaljpプラグインのバージョン2.0.6以前にXSS(クロスサイト・スクリプティング)の脆弱性が存在することが判明しました。
この脆弱性を悪用された場合、最悪の場合

  • GeeklogのログインID・パスワード流出
  • フィッシングサイトへの誘導
  • 他サイトを攻撃する踏み台にされる

などの危険性があります。
この問題の影響を受けるmycaljpプラグインのバージョンを以下に示しますので、該当のmycaljpプラグインを使用されているサイト管理者の方は速やかにバージョンアップを行ってください。
更新版は以下のリンクからダウンロードできます。

サイトカレンダ mycaljp プラグイン Ver.2.0.7

影響を受けるバージョン

  • サイトカレンダ mycaljp Ver.2.0.0 から 2.0.6 まで

※ バージョンナンバーは、サイト管理者(管理権限を持つユーザ)でログインし、管理者専用メニューからプラグイン管理にアクセスすれば確認できます。

また、当該プラグインは以下のパッケージにも含まれています。

  • Geeklog1.5.0からGeeklog1.5.2までの日本語パッケージ拡張版
    ただし、リリース日が2009-06-29以前のパッケージ

※ 日本語パッケージ拡張版のリリース日は、パッケージに同梱されているrelease_jp.phpの$release_dateの値で確認できます。

なお、以下のパッケージは影響を受けません。

  • Geeklog オリジナル版 (http://www.geeklog.netで公開されているパッケージ)
  • Geeklog 日本語パッケージ通常版 (拡張版ではないもの)

関連情報

JVN#20478978 Geeklog サイトカレンダ mycaljp におけるクロスサイトスクリプティングの脆弱性

謝辞

この脆弱性情報は、JPCERT/CC から当サイトへご報告をいただきました。
JPCERT/CC および IPA へ本脆弱性情報をご報告いただきました 大野雅子様 に厚く御礼申し上げます。

タグ: Geeklog mycaljp Security

関連情報

記事のオプション

トラックバック

このエントリのトラックバックURL: http://www.trybase.com/~dengen/log/trackback.php/mycaljp2.0.7

この記事にはトラックバック・コメントがありません。
Comments
mycaljpプラグインにXSSの脆弱性が発見されました | 0 件のコメント | アカウント登録
コメントは投稿者の責任においてなされるものであり、サイト管理者は責任を負いません。

コメントの投稿

[ アカウントを作る ]


使用できるHTMLタグ:

<a>, <b>, <blockquote>, <br>, <code>, <div>, <em>, <font>, <h>, <hr>, <i>, <li>, <ol>, <p>, <pre>, <strong>, <tt>, <ul>, [code], [raw], [story:], [staticpage:], [staticpage_content:], [link:], [file:], [poll:], [youtube:], [tag:], [navi:], [download:], [twitter:]

注意事項:

  • 内容にそった話題で投稿してください。
  • できるだけ新しいスレッドを立てず、コメントを追加してください。
  • 他の人のコメントをよく読んで同じようなコメントを投稿しないようにしてください。
  • 内容がよくわかるタイトルをつけてください。
  • あなたのメールアドレスは表示されません!(保護されています)

Twitter

Tag Cloud

ログイン

記事カテゴリ

Recent Centents (開発中)

記事

コメント

トラックバック (2日)
-

リンク (2週)
新しいリンクはありません


新着ファイル (14 日以内)

ダウンロード (2週)
-
-