ホーム > ダウンロード > 脆弱性に関する報告 - 2008/02/21

【CGIスクリプトの脆弱性に関する報告】 - 2008/02/21 (Thu)

 Webサイト「Tor World」で配布中の複数の CGI スクリプトにおいて、クロスサイトスクリプティングの脆弱性が存在することが判明しました。

影響を受けるシステム

Tor SearchVer1.1 および それ以前
i-NavigatorVer4.0
Mobile FrontierVer2.1 および それ以前
今日の一言Ver1.5 および それ以前
Tor NewsVer1.21 および それ以前
Simple BBSVer1.3 および それ以前
Interactive BBSVer1.3 および それ以前
Tor BoardVer1.1 および それ以前
Simple VoteVer1.1 および それ以前
Com VoteVer1.2 および それ以前

詳細情報

 「Tor World」が提供する複数の CGI スクリプトには、クロスサイトスクリプティングの脆弱性が存在します。

想定される影響

 ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。

対策方法

 本件への対策を行った最新バージョンを「Tor World」にて公開していますので、できるだけ早急にアップデートして下さい。

Tor Search http://download.torworld.com/data/search/download.html
i-Navigator http://download.torworld.com/data/i-Navi/download.html
Mobile Frontier http://download.torworld.com/data/frontier/download.html
今日の一言 http://download.torworld.com/etc/diary/download.html
Tor News http://download.torworld.com/etc/news/download.html
Simple BBS http://download.torworld.com/bbs/simple_bbs/download.html
Interactive BBS http://download.torworld.com/bbs/interactive_bbs/download.html
Tor Board http://download.torworld.com/bbs/torboard/download.html
Simple Vote http://download.torworld.com/vote/simple/download.html
Com Vote http://download.torworld.com/vote/com/download.html

 ※ 有償の改造サービスを利用された方は、無償でこの脆弱性に関する対策を行います。現在、使用中のスクリプトをメールに添付してお申し出ください。

謝辞

 本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC がベンダとの調整を行いました。

 報告者: 植木 修也 氏

 脆弱性を発見された方、ご協力いただいたJPCERT/CC の方々に感謝申し上げます。

更新履歴

 2008/02/21 公開

- Tor World -