セキュリティフィクスのXOOPS 2.0.13 JPリリース

オープンソースのコンテンツ管理システム「XOOPS」に複数のセキュリティー関連のバグが発見され、対応したXOOPS 2.0.13 JPがリリースされた。

[ITmedia]

　オープンソースのコンテンツ管理システム「XOOPS」の日本語版プロジェクト「XOOPS Cube」公式サイトは10月24日、コア及びモジュール（newbb／contact）にクロスサイトスクリプティング脆弱性を含む複数のセキュリティー関連のバグが発見されたため、重要な修正を行ったXOOPS 2.0.13 JPをリリースしたと発表（関連記事）。至急アップグレードするよう推奨している。また本バージョンより、新規インストール時にPHPデバッグモードが標準で有効にしたという。

　今回発見されたXOOPS 2.0.12 JPまでの脆弱性は、次の通り。

　まず、newbbおよびXOOPSコメントにおいて登録された情報のサニタイズ処理の問題で、クロスサイトスクリプティングによるセッションハイジャックが行われる危険性が挙げられている。これにより、サイト内容の改竄や非公開情報の漏出などが起こされる危険性があるとのこと。

　次に、bbcodeのデコード処理の問題では、Internet Explorerでアクセスしたユーザーに対して悪意あるスクリプトを実行し、クロスサイトスクリプティングによるセッションハイジャックが行われる危険性。

　misc.phpファイル及びcontactモジュールの処理のバグにより、phpMailerが構築するエンベロープ／本文にインジェクションが行われる危険性も挙げられている。これより、XOOPSをインストールしているサーバから不特定多数にスパムメールが送られてしまう可能性がある。

　さらに、MediaUploaderを使用してヘッダを偽造した悪意あるファイルをアップロードすることにより、ユーザーがInternet Explorerから同ファイルに直アクセスした際、実行されてセッションハイジャックなどが引き起こされる可能性も指摘されている。