オープンソースのCMSにXSSの脆弱性

オープンソースのCMS「NetCommons」にクロスサイトスクリプティング（XSS）の脆弱性が存在する。

[ITmedia]

　IPA（情報処理推進機構）セキュリティセンターおよびJPCERTコーディネーションセンター（JPCERT/CC）は11月5日、オープンソースのCMS（コンテンツ管理システム）「NetCommons」にクロスサイトスクリプティング（XSS）の脆弱性が存在するとして、JVN（Japan Vulnerability Notes）に情報を公開した。IPAやNetCommonsプロジェクトでは最新バージョンにアップデートするよう呼びかけている。

　NetCommonsは、国立情報学研究所が開発したオープンソースの情報共有サイト構築ソフトで、eラーニングやグループウェアの機能を備える。このNetCommonsが導入されたサーバへ誘導しようとする不正なWebサイトにユーザーがアクセスすると、Webブラウザ上で悪意のあるスクリプトが実行され、第三者により任意にページが操作されるXSSの問題がある。IPAによると、NetCommonsがWebページを出力する処理が不適切なため、不正なスクリプトが埋め込まれてしまうという。

　問題の影響を受けるのは、NetCommons1.0.10およびそれ以前のバージョン。バージョン1.1.2あるいは1.0.11にアップグレードすれば回避できる。なおIPAは、今回公表した脆弱性は、以前NetCommonsで発見されたXSSの問題とは異なるものだとしている。