PukiWiki

PukiWiki Errata

PukiWikiの不具合に関するお知らせです。管理者の方は必ずご覧下さい。



Default setting of file-attaching function allows XSS (- 1.4.5_1)

Problem Description (概要)

PukiWikiのattachプラグイン(ファイル添付機能)を利用したXSS(クロスサイトスクリプティング)が可能であることが解りました。XSSを通じて:

PukiWikiはデフォルトで第三者にファイルのアップロードを許可しています。第三者にファイルのアップロードを許可していない設定あるいは構成にしているサイトはこの問題の影響をを受けません。

第三者に「ファイルをアップデートする機能」へのアクセスを許可している場合、以下の「回避策」に従い、「第三者に対する」アップロード機能の利用を禁止するか、添付ファイル機能を無効にして下さい。

※この情報提供は、JPCERTの公開日決定に伴い、限定的に行われるものです。

Workaround (回避策)

予防措置: 「第三者によるファイル添付」を禁止する (下記のいずれか、ないし複数を実施する)

対応後、本当ににアップロードの動作が禁止されているかどうかを確認して下さい。

Other (その他)

History (履歴)


XSS vulnerability in plugin/ls2.inc.php (-1.3.7, -1.4.3)

Problem Description (概要)

PukiWiki に含まれている ls2 プラグインにXSS脆弱性が含まれていました。 1.4.x については既報および修正済みでしたが、 1.3.xに対する同様の脆弱性が未修正であったためこのたび修正しました。

PukiWiki 1.3.x を運用されている方、またPukiWiki 1.4.3 以前を運用しておりこの脆弱性に対処していない方は速やかにls2プラグインをアップデートして下さい。

Workaround (回避策)

Solution (解決策)

plugin/ls2.inc.php を修正済みのリビジョンに置き換える


XSS vulnerability in plugin/color.inc.php (-1.4.4)

Problem Description (概要)

PukiWiki 1.4.x に含まれている color プラグイン (r1.5-1.9まで) に XSS脆弱性が含まれていることがわかりました。PukiWiki 1.4.x を 運用されている方は速やかにcolorプラグインをアップデートして下さい。

プラグインマニュアル(1.4.4以降に同梱)に記載されている利用方法 であればこの脆弱性にひっかかることはありませんが、対処しなかった 場合、脆弱性を悪用される可能性があります。

Workaround (回避策)

Solution (解決策)



トップ   編集 凍結解除 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2020-02-12 (水) 22:41:10
Site admin: PukiWiki Development Team

PukiWiki 1.5.3+ © 2001-2020 PukiWiki Development Team. Powered by PHP 5.6.40-0+deb8u12. HTML convert time: 0.135 sec.

OSDN