オープンソースのCMSにXSSの脆弱性、最新版で修正

オープンソースのCMS（コンテンツ管理システム）「NetCommons」にクロスサイトスクリプティング（XSS）の脆弱性が存在することが8月14日、明らかになった。

[ITmedia]

　IPA（情報処理推進機構セキュリティセンター）は、オープンソースのCMS（コンテンツ管理システム）「NetCommons」にセキュリティ上の脆弱性が存在することを脆弱性情報サイト JP Vendor Status Notes（JVN）において明らかにした。IPAやNetCommonsプロジェクトでは至急最新バージョンにアップデートするよう呼びかけている。

　NetCommonsは、国立情報学研究所が開発したオープンソースの情報共有サイト構築ソフトで、eラーニングやグループウェアの機能を備える。

NetCommonsで発見されたXSSの脆弱性（IPAの資料より）

　脆弱性が見つかったのは、NetCommons 1.0.8およびそれ以前のバージョン。NetCommonsが導入されたサーバへ誘導しようとする不正なWebサイトにユーザーがアクセスすると、Webブラウザ上で悪意のあるスクリプトが実行され、第三者により任意にページが操作されるクロスサイトスクリプティングの問題があるという。これは、NetCommonsがWebページを出力する処理が不適切で、不正なスクリプトが埋め込まれてしまうことが原因。

　NetCommons 1.0.8以前のユーザーは、最新のバージョンの1.0.9にアップグレードするようにしたい。なお、バージョン1.0.3〜1.0.7のユーザーは、いったん1.0.8に更新してから1.0.9にアップグレードする必要がある。