セキュリティ情報†
escafeWeb(Tuigwaa)†
クロスサイトスクリプティング 脆弱性†
公表日 : 2007/08/27 (月)
- 脆弱性概要
クロスサイトスクリプティングにより、第三者によるサイト内容の書き換えや、ユーザ情報の漏洩が発生する可能性がある。
- 該当のバージョン
escafeWeb(Tuigwaa) 1.0 から 1.0.4 まで
- 確認方法
Tuigwaa をインストールしたサイトにて Tuigwaa Manager にアクセスし、サイトの左下に表示されるバージョン
もしくは Tuigwaa をインストールしたディレクトリを $TUIGWAA_INSTALL_PATHとし
$TUIGWAA_INSTALL_PATH/WEB-INF/classes/tuigwaa.properties
内の system.version の値で示されるバージョン+ 影響範囲
- 影響範囲
Tuigwaa サイトの運営者の意図しない情報を表示する可能性及び、Tuigwaa サイトユーザの情報漏洩が発生する可能性がある。
- 対応方法
- 解決策
Tuigwaa 1.0.5 にバージョンアップする。
- 回避策
Tuigwaa で作成するサイトを「セキュリティ」で保護し、かつ「未承認の人も一部ページを見ることが可能」のチェックをしない。
「未承認の人も一部ページを見ることが可能」のチェックをつける際には、2.1 で記述した tuigwaa.properties 内のoption.nopage.create を false に設定する - 関連情報
- 謝辞
本脆弱性を報告頂いた株式会社セキュアスカイ・テクノロジー様及び、本脆弱性の発生を未然に防ぐべくご尽力頂いた JPCERT/CC関係者の皆様に感謝いたします。
escafeFlow(Buri)†
escafeFlow についてのセキュリティ情報は現在ありません。
escafeRule(Ebi)†
escafeRule についてのセキュリティ情報は現在ありません。
escafeScript(なでじゃこ)†
escafeScript についてのセキュリティ情報は現在ありません。
