JPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同運営するJVNに、SHIRASAGI におけるオープンリダイレクトの脆弱性が公開されました。
https://jvn.jp/jp/JVN55657988/index.html
公開画面側にログイン画面を持つ、会員機能等を採用しているサイトが脆弱性の対象となります。
(管理画面のログインは影響ありません)
この脆弱性をついた攻撃を成立させるには、下記の条件が必要となります。
- シラサギに似せた悪意のある外部サイトを構築する。
- 1のサイトへ誘導するためのリンクをメールなどで送信し、そのリンクをクリックさせる。
この条件が成立しない場合は、緊急性はありません。
当該脆弱性は、v1.13.2 で修正されていますので、v1.13.2 以降へのバージョンアップを実施頂くか
下記のコミットの反映をお願いします。
[fix][cms] open redirect vulnerability on member login (#3646)
https://github.com/shirasagi/shirasagi/commit/040a02c9d4b5dd2f91c5c29c0008a47cde6ee99a