ニュース
» 2005年10月25日 15時55分 公開

XOOPSにクロスサイトスクリプティングなど複数の脆弱性

オープンソースのコンテンツ管理システム「XOOPS」に複数の脆弱性が発見された。最新版の「XOOPS 2.0.13 JP」で修正されている。

[ITmedia]

 情報処理推進機構(IPA)セキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)は10月24日、オープンソースのコンテンツ管理システム「XOOPS」に複数の脆弱性が発見されたことをJP Vendor Status Notes(JVN)を通じて明らかにした。

 XOOPSはPHPをベースとしたコンテンツ管理システム。PHPおよびMySQLが利用可能な環境であれば、手軽にコミュニティサイトを立ち上げることができる。

 脆弱性が存在するのは、XOOPS 2.0.12 JP以前とXOOPS 2.0.13.1以前/XOOPS 2.2.3 RC1以前。XOOPSの特徴でもある独自のタグコード「XOOPS Code」の処理に問題があるほか、コアパッケージに同梱されているフォーラムモジュール(newbb)で引数の処理に問題があり、クロスサイトスクリプティング攻撃を受ける恐れがある。

 この脆弱性が悪用されれば、攻撃者がXOOPSベースのページにスクリプトを埋め込み、アクセスしてきたユーザーが意図せずそれを実行してしまう可能性がある。結果として、Cookie情報の盗難、なりすましにつながる恐れがある。

 ほかにも、misc.phpの処理やcontactモジュールの処理に存在するバグが原因となり、XOOPSをインストールしているサーバから不特定多数にメールをばら撒かれる脆弱性などが指摘されている。

 XOOPS公式サイトでは、一連の脆弱性を修正したXOOPS 2.0.13 JPをリリースした。XOOPS 2.0.13 JP以前を使っているすべてのユーザーに対し、「至急のアップグレード」を推奨している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -