オープンソースのコンテンツ管理システム「XOOPS」の公式サイトは米国時間6月28日，XOOPS バージョン2.0.11以前にセキュリティ・ホールが見つかったことを明らかにした。SQLインジェクションやクロスサイト・スクリプティング攻撃を受ける可能性がある。対策は，最新版の2.0.12aにアップグレードすることなど。

　セキュリティ・ベンダーSecuniaなどの情報によると，XOOPSに含まれるいくつかのモジュールは，入力／出力データを適切にチェックしない（サニタイジングしない）場合がある。このため，（1）クロスサイト・スクリプティング攻撃や（2）SQLインジェクション（攻撃）を許す可能性がある。

　具体的には，（1）により攻撃者は，XOOPSが稼働するWebサイトを経由させて，攻撃対象ユーザーへ任意のHTMLおよびスクリプトを送り込める。（2）により攻撃者は，XOOPSが稼働するWebサイトへ任意のSQL文を送り込んで，データベースの情報を操作できる。

　英語版での対策は，最新版の2.0.12aにアップグレードすること。XOOPS公式サイトからダウンロードできる。日本語版については2.0.12aはまだ存在しないものの，「XOOPS日本公式サイト」が2.0.10.1 JPおよび2.0.11 JP RC1用のパッチを公開している。パッチを適用すれば，今回のセキュリティ・ホールを解消できる。

◎参考資料
◆Security : Security Release: XOOPS 2.0.12a（XOOPS公式サイト）
◆Download the XOOPS System Core
◆XOOPS本体 : セキュリティパッチpatch-2005063001リリース（XOOPS日本公式サイト）
◆Xoops Cross-Site Scripting and SQL Injection Vulnerabilities（デンマークSecunia）

（勝村　幸博＝IT Pro）