公開日: 2015/01/30  最終更新日: 2015/01/30

にしし ふぁくとりーからの情報

脆弱性識別番号:JVN#33735535
脆弱性タイトル:Fumy News Clipper におけるクロスサイトスクリプティングの脆弱性
ステータス:該当製品あり

以下の情報は、製品開発者から JVN に提供されたものです。

当方が配布しているフリーCGI「Fumy News Clipper2」のVer 2.4.0以下に、クロスサイトスクリプティングの脆弱性が発見されました。既にVer 2.5.0で解決致しておりますので、旧バージョンをお使いの場合は、最新版へのアップデートをお願い致します。(古いバージョンのままで脆弱性の影響を回避する方法はありません。)

当該CGIのバージョン番号は、hb.cgiファイルのソースコード4行目に記載があるほか、CGIの管理画面をウェブブラウザで閲覧した際に、画面最上部に常に表示されています。この番号が2.4.0以下の場合には、脆弱性があります。

アップデートは、最新パッケージに含まれるhb.cgiファイルを、ウェブサーバ上でお使いのhb.cgiファイルと置き換えるだけで完了します。(CGIをカスタマイズしてお使いの場合は、サーバへアップロードする前にCGIソース内で設定を済ませて下さい。)
詳しくは、配布サイト内の解説をご参照下さい。

なお、脆弱性を解消したVer 2.5.0のデータ形式は、それより古いどのバージョン(Ver 2.00~2.4.0)のデータ形式とも100%の互換性があります。また、Ver 2.5.0には古いバージョンに存在するすべての機能があります。したがって、古いバージョンを使い続ける必要性はありませんので、アップデートをお願い致します。