Jeans & Development:2011年 03月の記事

レガシーwebアプリケーションを、ファイアウォールの内側で利用する [セキュリティー]

2011年3月9日

古くなったwebアプリケーションは、既知の脆弱性がそのまま放置されているようなケースが良くある。こうなると危なくてもう使えない(イントラネットで使うようなケースは別)。

そういったアプリケーションのすべての機能ではなく、一部の機能だけ使いたいというようなことは良くあるだろう。そういう場合、その一部の機能を担うための情報だけサニタイズして与えれば、問題なく使えるはずである。

使用中のwebページでそういったことに相当するケースがあったので、対処してみた。

Nucleus CMS ver 3.62に、XSS脆弱性 [Nucleus]

2011年3月5日

Nucleus CMS ver 3.62に、XSS脆弱性があることが確認されました。

japan.nucleuscms.org: Nucleus CMS ver 3.62 の createaccount.phpにXSS脆弱性
nucleuscms.org: Nucleus CMS 3.63 Released

それぞれ、次のようなケースで攻撃を受ける可能性があります。

英語版 3.62:
・"Configuration"の"Member Settings"で、"Allow Visitors to Create a Member Account"を"yes"にしている場合。

日本語版 3.62:
・「グローバル設定」の「メンバー設定」で、「ビジターによるメンバーアカウント作成を可能にする」を「はい」に設定していて、かつ、
・createaccount.phpのPHP文法上の誤りを修正して使っていて、かつ、
・PHPの設定で、registerglobals=ONとしている場合。