Hikiに任意のファイルが削除できる脆弱性、最新版で修正

[ITmedia]

　Wikiクローンの「Hiki」に、任意のファイルが削除できてしまう脆弱性が発見された。コード実行などにつながる危険性の高いものではないが、開発チームおよびJVNでは、問題を修正した最新バージョンへのアップグレードを推奨している。

　Hikiは、Rubyで実装されたWikiエンジンの一種だ。バージョン0.8.0から0.8.6には、セッションファイルの取扱いに問題がある。悪意あるユーザーが特殊なリクエストを送信すると、セッション終了時に、意図しないファイルがHikiの実行権限で削除されてしまう可能性があるという。

　Hiki開発チームでは、問題を修正したバージョン0.8.7および0.8.6向けの差分ファイルを公開し、更新を推奨している。