Hikiにクロスサイトスクリプティングの脆弱性、最新版で修正

Rubyで実装されたWikiクローン「Hiki」に、クロスサイトスクリプティングの脆弱性が発見された。

» 2005年08月04日 12時39分 公開
[ITmedia]

 Rubyで実装されたWikiクローン「Hiki」に、クロスサイトスクリプティングの脆弱性が発見された。Hiki開発チームでは8月4日付けでアドバイザリを公開するとともに、問題を修正したHiki 0.8.3へのバージョンアップを呼びかけている。

 この脆弱性が存在するのはHiki 0.8.0から0.8.2までのバージョン。バージョン0.6.6には問題はない。

 存在しないページを参照した際に返される新規作成をうながす画面やログイン画面において、ページ名のエスケープ処理が漏れていた。これを悪用されれば、悪意あるユーザーがJavaScriptなどのスクリプトコードを埋め込み、実行させられる、つまりクロスサイトスクリプティングを仕掛けられるおそれがある。

 また、管理画面でクエリによっては設定ファイルが消えてしまうという不具合も発見された。クロスサイトスクリプティングを悪用してセッションIDを詐取した上で、この不具合を組み合わせると、パスワードの変更など、さまざまな設定を不正に変更されてしまうおそれもあるという。

 Hiki開発チームでは、配布元の情報なども参照した上で、問題を修正したバージョン0.8.3へのバージョンアップを検討するよう呼びかけている。

 なおこの脆弱性は、IPAセキュリティセンターとJPCERT/CCが運用している情報セキュリティ早期警戒パートナーシップによって報告された。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ