------------------ #contents ------------------ ** XSS vulnerability in plugin/ls2.inc.php (-1.3.7, -1.4.3) [#z0a8b322] - Category: plugin - Module: ls2.inc.php - Announced: 2004-12-05 (for 1.3.x), 2004-08-12 (for 1.4.x) - Affects: PukiWiki 1.3.3 - 1.3.7, 1.4pre2 - 1.4.3 - Corrected: plugin/ls2.inc.php (r1.1.2.5 for 1.3.x, r1.20 for 1.4.x) *** Problem Description (概要) [#d4332aa8] PukiWiki に含まれている ls2 プラグインにXSS脆弱性が含まれていました。 1.4.x については既報および修正済みでしたが、 1.3.xに対する同様の脆弱性が未修正であったためこのたび修正しました。 PukiWiki 1.3.x を運用されている方、またPukiWiki 1.4.3 以前を運用しておりこの脆弱性に対処していない方は速やかにls2プラグインをアップデートして下さい。 *** Workaround (回避策) [#n07b6e6b] - plugin/ls2.inc.php を削除する *** Solution (解決策) [#m521ac44] plugin/ls2.inc.php を修正済みのリビジョンに置き換える - 1.4.x: [[plugin/ls2.inc.php(r1.20):http://cvs.sourceforge.jp/cgi-bin/viewcvs.cgi/pukiwiki/pukiwiki/plugin/ls2.inc.php?rev=1.20&content-type=text/plain]] - 1.3.x: [[plugin/ls2.inc.php(r1.1.25):http://cvs.sourceforge.jp/cgi-bin/viewcvs.cgi/pukiwiki/pukiwiki/plugin/ls2.inc.php?rev=1.1.2.5&content-type=text/plain]] ------------------ ** XSS vulnerability in plugin/color.inc.php (-1.4.4) [#lad29fae] - Category: plugin - Module: color.inc.php - Announced: 2004-11-21 - Affects: PukiWiki 1.4rc3 - 1.4.4 - Corrected: plugin/color.inc.php (r1.13) *** Problem Description (概要) [#w953b920] PukiWiki 1.4.x に含まれている color プラグイン (r1.5-1.9まで) に XSS脆弱性が含まれていることがわかりました。PukiWiki 1.4.x を 運用されている方は速やかにcolorプラグインをアップデートして下さい。 プラグインマニュアル(1.4.4以降に同梱)に記載されている利用方法 であればこの脆弱性にひっかかることはありませんが、対処しなかった 場合、脆弱性を悪用される可能性があります。 *** Workaround (回避策) [#n07b6e6b] - plugin/color.inc.php を削除する *** Solution (解決策) [#m521ac44] - plugin/color.inc.php を検証済みのリビジョン 1.13 に置き換える -- [[plugin/color.inc.php(r1.13):http://cvs.sourceforge.jp/cgi-bin/viewcvs.cgi/pukiwiki/pukiwiki/plugin/color.inc.php?rev=1.13&content-type=text/plain]] -- ※PukiWiki 1.4にて動作確認済み ------------------