MyNETSにおけるXSS脆弱性
最終更新日 2008年10月31日
■概要
オープンソースのSNSソフトウェア「MyNETS」に、XSS脆弱性が存在することが判明しました。
■影響を受けるバージョン
修正日以前にリリースされたすべてのバージョン
MyNETS 1.2.0以前
MyNETS 1.1.1+20080623以前
MyNETS 1.1.0+20080623以前
MyNETS 1.0.1+20080623以前
MyNETS 1.0.0+20080623以前
■詳細情報
悪意のあるSNS利用者が、この脆弱性を利用することにより、XSSが可能になり、SNS登録ユーザのブラウザで任意のスクリプトを実行することが可能となります。
■脆弱性がもたらす脅威
SNS登録ユーザのクッキーが盗まれセッションがハイジャックされる、本人の情報が盗まれる、偽のサイトに誘導されるなどの可能性があります。
■対策方法
脆弱性が修正されたバージョンへのアップデートしてください。
修正されたバージョン
MyNETS 1.2.0.1 変更履歴
MyNETS 1.1.1+20081020 変更履歴
MyNETS 1.1.0+20081020 変更履歴
MyNETS 1.0.1+20081020 変更履歴
MyNETS 1.0.0+20081020 変更履歴なお、アップデートが早急にできない場合は、以下のファイルを脆弱性が修正されたバージョンのファイルで置き換えることで、この脆弱性のみに対処することができます。
1.2.0 の場合
webapp/lib/smarty_plugins/modifier.bbcode2del4pne.php
webapp/lib/smarty_plugins/modifier.bbcode2html4pne.php
webapp/lib/smarty_plugins/modifier.t_url2pne.php1.1.1、1.1.0、1.0.1、1.0.0 の場合
webapp/lib/smarty_plugins/modifier.t_url2pne.php
■関連情報
■更新履歴
この文書の最新版は、以下のURLより参照できます。
http://usagi-project.org/PRESS/archives/532008.10.31 関連情報にJVNのリンクを追加しました。
2008.10.22 アップデートが早急にできない場合の対処方法を追加しました。
2008.10.20 影響を受けるバージョンに「MyNETS 1.1.1+20080623以前」が抜けていたので追加しました。
2008.10.20 変更履歴へのリンクを追加しました。
2008.10.20 この脆弱性情報ページを公開しました。