Usagi Project

MyNETSにおける日記タイトル漏洩の脆弱性

公開日 2008年 5月7日
最終更新日 2008年 5月 7日

■概要
MyNETS を使用している SNS において、ユーザが公開範囲に「マイフレンドまで公開」「公開しない」を指定した日記のタイトルが、SNSメンバーに漏洩してしまう脆弱性が存在することが判明しました。

■影響を受けるバージョン
MyNETS 1.1.1 (2008/02/04版およびそれ以前のバージョン)
※ 1.1.0以前のバージョンにこの脆弱性はありません。

■詳細情報
SNSメンバーが、特定の操作を行うことにより、他のメンバーが(そのメンバーに)公開していない日記のタイトル(タイトルのみで本文は閲覧できません)を閲覧することが可能となります。

■脆弱性がもたらす脅威
ユーザが秘密にしている日記のタイトルが漏洩する可能性があります。

■対策方法
1. か 2. のいずれかを実施してください。

　1.　対応ZIPファイルを次の URL からダウンロードし、該当ファイル(webapp/modules/pc/page/fh_dengon.php)を上書き更新してください。

http://usagi.mynets.jp/download/20080507/Usagi.zip

　2.　webapp/modules/pc/page/fh_dengon.php の87行目からの以下ソース

$list_set = p_fh_diary_list_diary_list4c_member_id($target_c_member_id, 7, 1);

上記を

$list_set = p_fh_diary_list_diary_list4c_member_id($target_c_member_id, 7, 1, $u);

と修正してください。

■謝辞
この脆弱性情報は、下記の方から直接この問題をご報告いただき対応しました。ご協力に感謝します。

ボーカロイドにゃっぽんSNS
赤ちゅん　氏

■更新履歴
2008.05.07 この脆弱性情報ページを公開しました。