tDiaryにクロスサイトスクリプティングの脆弱性、修正版を公開

[ITmedia]

　11月27日、Web日記の作成を支援するフリーソフトウェア「tDiary」にクロスサイトスクリプティングの脆弱性が存在することが明らかになった。開発元では問題を修正した新バージョンとパッチを公開し、適用を呼びかけている。

　tDiaryは、オープンソースのプログラミング言語、Rubyをベースにした日記支援システム。tDiary 2.0.2以前の安定版およびtDiary 2.1.4.20061115以前の開発版に、Webページを出力する際の処理が不適切なために生じるクロスサイトスクリプティングの脆弱性が存在する。

　特殊なURLなどを通じて脆弱性を悪用されると、tDiaryにログイン済みのユーザーが、意図しない任意のスクリプトを実行される可能性がある。ただし開発元によれば、脆弱性が存在するのは、日記管理者だけがアクセスできる設定画面のみという。このため、日記閲覧者には直接の危険はない。しかし、脆弱性を悪用して作成された悪意ある日記が公開され、間接的に閲覧者が影響を被る恐れがある。

　開発元やJVNでは、脆弱性を修正した最新バージョンへのアップデートやパッチの適用を呼びかけている。