XOOPSにクロスサイトスクリプティングなど複数の脆弱性

オープンソースのコンテンツ管理システム「XOOPS」に複数の脆弱性が発見された。最新版の「XOOPS 2.0.13 JP」で修正されている。

[ITmedia]

　情報処理推進機構（IPA）セキュリティセンターとJPCERTコーディネーションセンター（JPCERT/CC）は10月24日、オープンソースのコンテンツ管理システム「XOOPS」に複数の脆弱性が発見されたことをJP Vendor Status Notes（JVN）を通じて明らかにした。

　XOOPSはPHPをベースとしたコンテンツ管理システム。PHPおよびMySQLが利用可能な環境であれば、手軽にコミュニティサイトを立ち上げることができる。

　脆弱性が存在するのは、XOOPS 2.0.12 JP以前とXOOPS 2.0.13.1以前／XOOPS 2.2.3 RC1以前。XOOPSの特徴でもある独自のタグコード「XOOPS Code」の処理に問題があるほか、コアパッケージに同梱されているフォーラムモジュール（newbb）で引数の処理に問題があり、クロスサイトスクリプティング攻撃を受ける恐れがある。

　この脆弱性が悪用されれば、攻撃者がXOOPSベースのページにスクリプトを埋め込み、アクセスしてきたユーザーが意図せずそれを実行してしまう可能性がある。結果として、Cookie情報の盗難、なりすましにつながる恐れがある。

　ほかにも、misc.phpの処理やcontactモジュールの処理に存在するバグが原因となり、XOOPSをインストールしているサーバから不特定多数にメールをばら撒かれる脆弱性などが指摘されている。

　XOOPS公式サイトでは、一連の脆弱性を修正したXOOPS 2.0.13 JPをリリースした。XOOPS 2.0.13 JP以前を使っているすべてのユーザーに対し、「至急のアップグレード」を推奨している。