AD-EDITって?


ブラウザからブログ感覚でホームページを編集できるソフトです。
これらの類のソフトを総称してCMS(コンテンツマネジメントシステム)とも呼びます。

>> ダウンロードはこちらから <<

 

2010年10月5日火曜日

AD-EDIT2 におけるクロスサイトスクリプティング(XSS)の脆弱性

JPCERT/CC様より、クロスサイトスクリプティング(XSS)の脆弱性(ぜいじゃくせい)の報告があり、修正アップデータの配布を開始しました。

脆弱性の問題を回避するためには、下記に挙げる方法により最新版へアップデートを行ってください。

JVNポータル原文


AD-EDIT2 におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN69191943/index.html

今回、脆弱性が確認された内容


AD-EDITのサイト内検索プラグラム[search.cgi]において
クロスサイトスクリプティングの脆弱性が確認されました。

至急アップデートを行うか、search.cgiの差替え作業をおねがいします。

クロスサイトスクリプティングの脆弱性が存在するサイトの対象


v3.0.8以前のAD-EDITにおいて、
「サイト内検索機能」を利用しているサイトのすべて

想定される影響


ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。

対策方法


v3.0.9以降へアップデートを行うか、または、セキュリティ修正版search.cgiへ差替えてください

アップデートに関する参考情報



▼アップデートの方法
1.管理画面の[システム設定]よりアップデータをダウンロード
2.管理画面の[システム設定]にてサーバーへアップロード
3.[システムアップデート開始]ボタンを押してアップデート

▼アップデート方法のビデオ解説
http://adedit.norenz.net/video/index.cgi?pg=0005

▼search.cgiをFTP等で手動で差替える場合
http://adedit.norenz.net/download/index.cgi?pg=0681 より、
セキュリティ修正版search.cgiをダウンロードしてください

謝辞


情報提供をいただいた JPCERT/CCのスタッフの皆様、ならびに報告者の方に感謝いたします。
報告者: 専門学校ITカレッジ沖縄 比嘉氏

0 件のコメント:

コメントを投稿