Seasar FoundationのJava用テンプレートエンジンにクロスサイトスクリプティングの脆弱性が見つかった。
情報処理推進機構(IPA)セキュリティセンターとJPCERT コーディネーションセンターは12月25日、Seasar FoundationのJava用テンプレートエンジン「Mayaa」にクロスサイトスクリプティング(XSS)の脆弱性が見つかったとして、JVN(Japan Vulnerability Notes)に情報を公表した。
対象となるのはMayaa 1.1.22以前で、脆弱性はorg.seasar.mayaa.impl.engine.PageNotFoundExceptionの例外を扱う際に使用する標準エラーページに存在する。悪用されると、ユーザーのWebブラウザ上で任意のスクリプトが実行される可能性がある。
Seasar Foundationは脆弱性を修正したMayaa 1.1.23を公開。ユーザーに同バージョンへのアップデートを呼び掛けるとともに、XSSの脆弱性のないエラーページを使用する回避策も紹介している。
Copyright © ITmedia, Inc. All Rights Reserved.