Java 用テンプレートエンジン「Mayaa」にXSSの脆弱性任意のコード実行の恐れ

Seasar FoundationのJava用テンプレートエンジンにクロスサイトスクリプティングの脆弱性が見つかった。

» 2008年12月25日 17時08分 公開
[ITmedia]

 情報処理推進機構(IPA)セキュリティセンターとJPCERT コーディネーションセンターは12月25日、Seasar FoundationのJava用テンプレートエンジン「Mayaa」にクロスサイトスクリプティング(XSS)の脆弱性が見つかったとして、JVN(Japan Vulnerability Notes)に情報を公表した。

 対象となるのはMayaa 1.1.22以前で、脆弱性はorg.seasar.mayaa.impl.engine.PageNotFoundExceptionの例外を扱う際に使用する標準エラーページに存在する。悪用されると、ユーザーのWebブラウザ上で任意のスクリプトが実行される可能性がある。

 Seasar Foundationは脆弱性を修正したMayaa 1.1.23を公開。ユーザーに同バージョンへのアップデートを呼び掛けるとともに、XSSの脆弱性のないエラーページを使用する回避策も紹介している。

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ