XOOPSに2種類の脆弱性、SQLインジェクションにつながるおそれも

オープンソースのコンテンツ管理システム「XOOPS」のバージョン2.0.11以前に、クロスサイトスクリプティングやSQLインジェクションにつながる脆弱性が発見された。

» 2005年06月30日 23時09分 公開
[ITmedia]

 オープンソースのコンテンツ管理システム(CMS)、「XOOPS」のバージョン2.0.11以前に、クロスサイトスクリプティングやSQLインジェクションにつながる恐れのある脆弱性が発見された。

 今回発見された脆弱性は2種類ある。1つは、edit.phpやcomment_edit.phpに含まれるパラメータに対する入力値、および出力値へのサニタイジングが適切に行われないため、クロスサイトスクリプティング攻撃を受け、任意のHTML/スクリプトを実行される恐れがあるというもの。もう1つはXML-RPCインタフェースに対する入力値チェックが甘く(サニタイズ漏れ)、SQLクエリを通じて任意のSQLコードを実行されてしまう、いわゆるSQLインジェクションを受ける可能性があるというものだ。

 これを受けてXOOPS公式サイトでは6月28日付で問題を修正したXOOPS 2.0.12aをリリースし、アップグレードするよう推奨している。また日本語版については、XOOPS日本公式サイトでXOOPS 2.0.10.2 JPがリリースされているほか、2.0.10.1 JP以前/2.0.11 JP RC1向けのパッチが公開されている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ