JP Vendor Status Notes(JVN)などは10月25日,オープンソースのコンテンツ管理システム「XOOPS」にセキュリティ・ホール(脆弱性)が見つかったことを明らかにした。XOOPS本体(コア・パッケージ)やフォーラム・モジュールにクロスサイト・スクリプティングの脆弱性などが存在する。このため,フォーラムなどを閲覧した際に,第三者によって登録された悪質なスクリプトを実行させられる可能性がある。影響を受けるのはXOOPS 2.0.12 JP以前,2.0.13.1以前,2.2.3 RC1以前。対策はXOOPS 2.0.13 JPにアップグレードすること。
今回,XOOPSのコア・パッケージとモジュールにクロスサイト・スクリプティングの脆弱性を含む複数のセキュリティ・ホールが見つかった。XOOPS 2.0.12 JP 以前(2.0.12 JPを含む),2.0.13.1 以前(2.0.13.1を含む),2.2.3 RC1 以前(2.2.3 RC1を含む)のコア・パッケージには,XOOPS独自のタグコードである「XOOPS Code」の処理に問題がある。
また,コア・パッケージに同梱されているフォーラム・モジュールには,引数の処理に関する複数の問題が存在する。これらを悪用されると,攻撃者によってインターネット経由でWebページ(プライベートメッセージやフォーラム)に悪質なスクリプトを埋め込まれる恐れがある。埋め込まれたページをユーザーが閲覧すると,スクリプトが勝手に実行されて被害に遭う。例えば,Cookie情報を盗まれて,なりすましを許す可能性がある(問題点や被害のシナリオについては情報処理推進機構の情報に詳しい)。
対策は,今回のセキュリティ・ホールを修正したXOOPS 2.0.13 JPにアップグレードすること。「XOOPS Cube 開発チーム」では,XOOPS 2.0.13 JP以前を使っているすべてのユーザーに対して,至急アップグレードすることを勧めている。
なお今回のセキュリティ・ホールは,ラックの山崎圭吾氏が発見し,「情報セキュリティ早期警戒パートナーシップ」に基づいて処理された(関連記事)。
◎参考資料
◆JVN#77105349 XOOPS におけるクロスサイトスクリプティングの脆弱性(JP Vendor Status Notes)
◆「『XOOPS』におけるクロスサイト・スクリプティングの脆弱性」について(情報処理推進機構)
◆公式アナウンス : XOOPS 2.0.13 JPリリース(XOOPS Cube)
◆ダウンロード(XOOPS Cube)