Tor WorldのCGIスクリプトにXSSの脆弱性

[ITmedia]

　Tor Worldが提供する複数のCGIスクリプト製品にクロスサイトスクリプティング（XSS）の脆弱性が発見されたとして、情報処理推進機構（IPA）セキュリティセンターとJPCERTコーディネーションセンター（JPCERT/CC）が2月21日、JVN（Japan Vulnerability Notes）に情報を公開した。

　Tor Worldは、Webサイトで使用する検索や掲示板などの複数のCGIスクリプトを提供している。CGIスクリプトでWebページを出力する際の処理が不適切なため、任意のスクリプトが埋め込まれる脆弱性があり、ユーザーが意図しないコードが実行される恐れがあるという。

　対象となるのは以下の製品。JPCERT/CCおよび製作者は、最新バージョンを利用するように呼びかけている。

• Tor Search：Ver1.1 および それ以前
• i-Navigator：Ver4.0
• Mobile Frontier：Ver2.1 および それ以前
• 今日の一言：Ver1.5 および それ以前
• Tor News：Ver1.21 および それ以前
• Simple BBS：Ver1.3 および それ以前
• Interactive BBS：Ver1.3 および それ以前
• Tor Board：Ver1.1 および それ以前
• Simple Vote：Ver1.1 および それ以前
• Com Vote：Ver1.2 および それ以前