Nucleus

Nucleus CMS ver 3.62に、XSS脆弱性

2011年3月5日

Nucleus CMS ver 3.62に、XSS脆弱性があることが確認されました。

japan.nucleuscms.org: Nucleus CMS ver 3.62 の createaccount.phpにXSS脆弱性
nucleuscms.org: Nucleus CMS 3.63 Released

それぞれ、次のようなケースで攻撃を受ける可能性があります。

英語版 3.62:
・"Configuration"の"Member Settings"で、"Allow Visitors to Create a Member Account"を"yes"にしている場合。

日本語版 3.62:
・「グローバル設定」の「メンバー設定」で、「ビジターによるメンバーアカウント作成を可能にする」を「はい」に設定していて、かつ、
・createaccount.phpのPHP文法上の誤りを修正して使っていて、かつ、
・PHPの設定で、registerglobals=ONとしている場合。

条件に当てはまる場合、英語版の場合は3.63以降にアップグレードしてください。日本語版の場合、パッチを当てるか、3.63以降にアップグレードしてください(2011年3月5日現在、3.63はまだリリースされていません)。

コメント

コメントはありません

コメント送信