mycaljpプラグインにXSSの脆弱性が発見されました
- 2009年8月20日(木) 20:28 JST
- 投稿者: dengen
[重要] サイトカレンダmycaljpプラグインのバージョン2.0.6以前にXSS(クロスサイト・スクリプティング)の脆弱性が存在することが判明しました。
この脆弱性を悪用された場合、最悪の場合、
- GeeklogのログインID・パスワード流出
- フィッシングサイトへの誘導
- 他サイトを攻撃する踏み台にされる
などの危険性があります。
この問題の影響を受けるmycaljpプラグインのバージョンを以下に示しますので、該当のmycaljpプラグインを使用されているサイト管理者の方は速やかにバージョンアップを行ってください。
更新版は以下のリンクからダウンロードできます。
サイトカレンダ mycaljp プラグイン Ver.2.0.7
影響を受けるバージョン
- サイトカレンダ mycaljp Ver.2.0.0 から 2.0.6 まで
※ バージョンナンバーは、サイト管理者(管理権限を持つユーザ)でログインし、管理者専用メニューからプラグイン管理にアクセスすれば確認できます。
また、当該プラグインは以下のパッケージにも含まれています。
- Geeklog1.5.0からGeeklog1.5.2までの日本語パッケージ拡張版
ただし、リリース日が2009-06-29以前のパッケージ
※ 日本語パッケージ拡張版のリリース日は、パッケージに同梱されているrelease_jp.phpの$release_dateの値で確認できます。
なお、以下のパッケージは影響を受けません。
- Geeklog オリジナル版 (http://www.geeklog.netで公開されているパッケージ)
- Geeklog 日本語パッケージ通常版 (拡張版ではないもの)
関連情報
JVN#20478978 Geeklog サイトカレンダ mycaljp におけるクロスサイトスクリプティングの脆弱性
謝辞
この脆弱性情報は、JPCERT/CC から当サイトへご報告をいただきました。
JPCERT/CC および IPA へ本脆弱性情報をご報告いただきました 大野雅子様 に厚く御礼申し上げます。