Mayaa 1.1.22 以前にクロスサイトスクリプティングの脆弱性
公開日 2008/12/25
Mayaa 1.1.22 以前にはクロスサイトスクリプティングの脆弱性があります。下記の発生条件に合致する場合、下記の対応方法を取ってください。
発生条件
以下のいずれかの条件に当てはまる場合に攻撃が成功する恐れがあります。
- org.seasar.mayaa.impl.engine.PageNotFoundException の例外を扱うページが標準のエラーページのまま
- 例外のメッセージにユーザからの入力をそのままセットしており、かつその例外を使うページが標準のエラーページのまま
対応方法
以下の2つのうち、いずれかの対応方法をとってください。
- Mayaa を 1.1.23 にバージョンアップする
- クロスサイトスクリプティングの脆弱性のないエラーページを使うようにする
関連情報
JVN#17298485 Mayaa におけるクロスサイトスクリプティングの脆弱性
謝辞
本脆弱性をご報告くださったNECソフト株式会社 中村 哲男 様に感謝いたします。
調査、対応にご協力いただきました JPCERT/CC 関係者の皆様に感謝いたします。
更新履歴
- 2008/12/25
公開