メールフォームCGIの「DesignForm」のXSSの脆弱性

Webサイト上から電子メールを送信できるCGIの「DesignForm」にクロスサイトスクリプティングの脆弱性が発見された。

[ITmedia]

　Webサイト上から電子メールを送信するためのメールフォームCGI「DesignForm」にクロスサイトスクリプティングの脆弱性が発見されたとして、情報処理推進機構（IPA）セキュリティセンターとJPCERTコーディネーションセンター（JPCERT/CC）が3月27日に情報を公開した。

　この脆弱性が存在するのはVer 3.8およびそれ以前。DesignFormがWebページを出力する際の処理が不適切なため、メールの本文入力欄などに特定のJavascirptを入力するとユーザーが意図しないコードが実行されてしまう可能性がある。

　開発者のGNBはこの脆弱性を修正したVer 3.9を公開しており、早期にアップデートするように利用者へ呼びかけている。