« 新生レノボ、IBMブランドを活用した事業展開へ | Main | WindowsにTCP/IPの脆弱性、XP SP2には影響なし »

›5 20, 2005

「PukiWiki」などのWikiクローンにファイル添付機能が悪用される脆弱性

[ PCニュース ]

 Wikiの長所である誰でも書き換え可能という特性。その延長にある誰でもアップロード可能という特性が裏目に出たと言うことですか。
 私はとりあえずパーミッションを505にしてアップロード不可能な状態にしたです。

 Wikiは、Webブラウザからページの作成や編集を行なうことができるコンテンツ管理システムで、Wikiの機能を実現する「Wikiクローン」と呼ばれる多くの実装がある。今回、これらのWikiクローンのうち、「ファイル添付機能」を実装しているWikiクローンについて、クロスサイトスクリプティングの脆弱性が発見された。
 
 JVNで脆弱性情報が公開されいるWikiクローンは、「PukiWiki」「Wiki もどき」「AsWiki」「Hiki」の4種類。いずれも、ファイル添付機能により第三者が任意のスクリプトをサーバーにアップロードすることが可能となり、スクリプトが実行されることによりCookieを使用しているサービスがある場合にCookieを盗まれる可能性や、Wikiサイトをフィッシング詐欺などに利用される可能性があるという。各ソフトウェアの製作者のページなどでは、ファイル添付機能を無効にするなどの回避策を公開し、ユーザーに設定の変更を呼びかけている。

「PukiWiki」などのWikiクローンにファイル添付機能が悪用される脆弱性


Posted by kroko 0 Comments: / 0 TrackBack
Comments
Post a comment












Remember personal info?