JPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同運営するJVNに、SHIRASAGI におけるクロスサイト・スクリプティング脆弱性が公開されました。
https://jvn.jp/jp/JVN32962443/index.html
この脆弱性をついた攻撃を成立させるには、下記のいずれかの条件が必要となります。
- タイトルに <script>alert("xss")</script> のような script タグをもつページを作成し、このページをモーダルダイアログで選択させる。この攻撃を成功させるのにページである必要はありません。script をもつグループをモーダルで選択した場合などでも攻撃は成立します。
- 「ふりがな」機能を有効にしたサイトで "https://www.example.jp/'-alert('xss')-'" のようなリンクをクリックさせ、そのページの「ふりがな」をクリックさせる。
この脆弱性は v1.14.3 を除く v1.0.0 から v1.15.0 のすべてのシラサギに存在します。当該脆弱性は v1.14.3 と v1.16.0 では修正されています。
v1.14.2 以前のバージョンをお使いの方は v1.14.3 への、v1.15.0 をお使いの方は v1.16.0 以降へのバージョンアップを実施頂くか、下記のコミットの反映をお願いします。
- v1.14.2 以前向けの修正パッチ
- https://github.com/shirasagi/shirasagi/commit/0b0a1db06d6864bb23fac6984f75add8da2a2d5d
- https://github.com/shirasagi/shirasagi/commit/79a8ccdfc6195622cd0f79a71adcfe60e754172f
- v1.15.0 向けの修正パッチ
- https://github.com/shirasagi/shirasagi/commit/737e3deebfa4ee534ae993e18d610e526fda2b04
- https://github.com/shirasagi/shirasagi/commit/916f87fa345e8b653158fa112b820390e6a14afe
v1.14.2 以前のバージョンをお使いの方も v1.16.0 以降へバージョンアップしていただくことは可能ですが、シラサギ1.15.0 リリースに記載しているとおり CMS に重大な非互換がありますので、この点に注意してください。
