2006-12-11 tDiary.org - [security]tDiaryの脆弱性に関する報告(2006-12-10) セキュリティ (Yoggyさん経由) tDiaryに追加の脆弱性が存在するそうです。2006年11月26日のパッチを適用した人も、再度新しいパッチを適用する必要があるそうです!!! Web日記支援システムtDiaryにおいて、脆弱性が発見されました。実行環境によっては非常に危険な脆弱性なので、以下の説明を読んで、早急な対応をお願いします。 想定される影響 1. 悪意ある第三者が特殊なURLや外部ウェブページを生成することで、ユーザのWebブラウザ上で任意のスクリプトを実行される可能性があります。 2. 同様な手段で、Webサーバ上にて任意のコマンドを実行される可能性もあります。ただし、セキュアモードで運用されている場合にはこの攻撃は成功しません。 なお、脆弱性があるのは日記管理者のみがアクセスできる設定画面上なので、日記閲覧者には直接の危険はありませんが、脆弱性をつくことによって作成された悪意ある日記が公開される可能性があるため、間接的には影響がありえます。 この脆弱性は2006年11月26日の脆弱性対応が不十分であったために発生したものです。 関連URL グラコロ..., tDiary の脆弱性に関する報告(2006-12-10) - ふぇみにん日記(2006-12-10)