Internet Watch logo
記事検索
最新ニュース

「ハイパー日記システム」にクロスサイトリクエストフォージェリの脆弱性


 JVN(Japan Vender Status Notes)は1日、Web日記作成支援ソフトウェア「ハイパー日記システム」にクロスサイトスクリプティング攻撃を受ける可能性のある脆弱性が存在すると警告した。

 今回公表された脆弱性は、日記の管理者を狙った悪意のページを作成することで、日記の管理者がそのページを読み込んだ場合に、日記への書き込みや改竄などを行なわせることができるというもの。これにより日記の本文にスクリプトを埋め込ませることが可能となり、クロスサイトスクリプティング攻撃の手法によりCookie情報が盗まれ、管理者権限が奪われる可能性があるという。

 影響があるシステムは、ハイパー日記システムのバージョン2.19.5以前のもので、webif.cgiをダイレクトモードで使っている場合に限られる。脆弱性は最新版のバージョン2.19.6で修正されており、開発元ではユーザーに対してバージョンアップを呼びかけている。


関連情報

URL
  JVNによる脆弱性情報
  http://jvn.jp/jp/JVN%2397422426/index.html
  開発元による脆弱性情報
  http://www.h14m.org/SA/2005/hns-SA-2005-01.txt
  ハイパー日記システム
  http://www.h14m.org/


( 三柳英樹 )
2005/09/01 12:53

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.