ホームサポート・不具合報告JVN#55657988 SHIRASAGI におけるオープンリダイレクトの脆弱性

JVN#55657988 SHIRASAGI におけるオープンリダイレクトの脆弱性

JPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同運営するJVNに、SHIRASAGI におけるオープンリダイレクトの脆弱性が公開されました。

https://jvn.jp/jp/JVN55657988/index.html

公開画面側にログイン画面を持つ、会員機能等を採用しているサイトが脆弱性の対象となります。
(管理画面のログインは影響ありません)

この脆弱性をついた攻撃を成立させるには、下記の条件が必要となります。

  1. シラサギに似せた悪意のある外部サイトを構築する。
  2. 1のサイトへ誘導するためのリンクをメールなどで送信し、そのリンクをクリックさせる。

この条件が成立しない場合は、緊急性はありません。

当該脆弱性は、v1.13.2 で修正されていますので、v1.13.2 以降へのバージョンアップを実施頂くか
下記のコミットの反映をお願いします。

[fix][cms] open redirect vulnerability on member login (#3646)
https://github.com/shirasagi/shirasagi/commit/040a02c9d4b5dd2f91c5c29c0008a47cde6ee99a

カテゴリー

このページの先頭へ