Nucleus CMSにCookie盗用セキュリティホール、フィクスした開発バージョンを公開

Blogツール「Nucleus CMS」の日本語版を配布する「Nucleus(JP)フォーラム」は、管理者Cookie盗用によるコメント問題に対し、対策を行ったバージョンを暫定公開した。

» 2004年09月30日 16時02分 公開
[ITmedia]

 Blogツール「Nucleus CMS」(ニュークリアス)の国内有志ユーザーが運用する「Nucleus(JP)フォーラム」は、管理者のCookieが盗用され、URLリダイレクトによる権限ジャックの危険性があるセキュリティホールを報告した。

 このホールは、悪意あるコメント投稿などで問題が起こる可能性があり、管理用URLにリダイレクトで飛ばすよう地雷が書き込まれると、管理者のリンククリックでセッションハイジャックとなってしまうもの。

 「Nucleus(JP)フォーラム」は、対策を施した最新開発バージョン日本語版を9月29日にフォーラム内で公開した。また、通常配布されている正式日本語版の3.1にも同じホールがあるため、近く3.2がリリースされる可能性を示唆している。

 正式日本語版3.1についても、修正がアナウンスされている。現在判明しているものとして、CDATAが入れ子になったスキンインポート、管理画面フォームのtypo、プラグインイベントの記述ミスといった不具合に加え、ユーザーから提案された日付けフォーマットを日本人に馴染みあるものへの修正案も取り入れる予定とのことだ。

 デザイン部分で対応できる部分はできる限り対処するので、使いにくい部分は連絡してほしいと告知している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ