セキュリティ情報

escafeWeb(Tuigwaa)

クロスサイトスクリプティング 脆弱性

公表日 : 2007/08/27 (月)
  1. 脆弱性概要

    クロスサイトスクリプティングにより、第三者によるサイト内容の書き換えや、ユーザ情報の漏洩が発生する可能性がある。

  2. 該当のバージョン

    escafeWeb(Tuigwaa) 1.0 から 1.0.4 まで

    1. 確認方法

      Tuigwaa をインストールしたサイトにて Tuigwaa Manager にアクセスし、サイトの左下に表示されるバージョン
      もしくは Tuigwaa をインストールしたディレクトリを $TUIGWAA_INSTALL_PATHとし

       $TUIGWAA_INSTALL_PATH/WEB-INF/classes/tuigwaa.properties
      

      内の system.version の値で示されるバージョン+ 影響範囲

  3. 影響範囲

    Tuigwaa サイトの運営者の意図しない情報を表示する可能性及び、Tuigwaa サイトユーザの情報漏洩が発生する可能性がある。

  4. 対応方法
    1. 解決策

      Tuigwaa 1.0.5 にバージョンアップする。

    2. 回避策

      Tuigwaa で作成するサイトを「セキュリティ」で保護し、かつ「未承認の人も一部ページを見ることが可能」のチェックをしない。
      「未承認の人も一部ページを見ることが可能」のチェックをつける際には、2.1 で記述した tuigwaa.properties 内のoption.nopage.create を false に設定する

  5. 関連情報

    http://jvn.jp/jp/JVN%2382276964/index.html

  6. 謝辞

    本脆弱性を報告頂いた株式会社セキュアスカイ・テクノロジー様及び、本脆弱性の発生を未然に防ぐべくご尽力頂いた JPCERT/CC関係者の皆様に感謝いたします。

escafeFlow(Buri)

escafeFlow についてのセキュリティ情報は現在ありません。

escafeRule(Ebi)

escafeRule についてのセキュリティ情報は現在ありません。

escafeScript(なでじゃこ)

escafeScript についてのセキュリティ情報は現在ありません。