From henoheno @ users.sourceforge.jp Sun Nov 21 21:16:45 2004 From: henoheno @ users.sourceforge.jp (heno) Date: Sun, 21 Nov 2004 21:16:45 +0900 Subject: [Pukiwiki-announce] [PukiWiki Errata] XSS vulnerability in plugin/color.inc.php (1.4.x) Message-ID: <4.0.1-J.20041121204038.00de9720@vm02.highway.ne.jp> PukiWikiユーザー各位: PukiWikiの不具合に関するお知らせです。管理者の方は必ずご覧下さい。 PukiWiki.orgにも(凍結文書によって)公開しています。 http://pukiwiki.org/?PukiWiki/Errata ------------------ * PukiWiki Errata ** XSS vulnerability in plugin/color.inc.php (1.4.x) - Category: plugin - Module: color.inc.php - Announced: 2004-11-21 - Affects: PukiWiki 1.4rc3 - 1.4.4 - Corrected: plugin/color.inc.php (r1.13) *** Problem Description (概要) PukiWiki 1.4.x に含まれている color プラグイン (r1.5-1.9まで) に XSS脆弱性が含まれていることがわかりました。PukiWiki 1.4.x を 運用されている方は速やかにcolorプラグインをアップデートして下さい。 プラグインマニュアル(1.4.4以降に同梱)に記載されている利用方法 であればこの脆弱性にひっかかることはありませんが、対処しなかった 場合、脆弱性を悪用される可能性があります。 *** Workaround (回避策) - plugin/color.inc.php を削除する *** Solution (解決策) - plugin/color.inc.php をCVS版の最新のもの (r1.13) と置き換える http://cvs.sourceforge.jp/cgi-bin/viewcvs.cgi/*checkout*/pukiwiki/pukiwiki/p lugin/color.inc.php?rev=1.13&content-type=text/plain ※PukiWiki 1.4にて動作確認済み ------------------