各所に連絡するとNDA契約になるので、情報出しちゃだめなはずですが・・・まぁ各所がどこかわからないけどIPAならそうですね。
治ってないなら・・・まぢやばい！Zero-Dayで公開ってことか。

すでに関係筋には連絡済なので、書いてもいいと思うのだが、どうやらＦＣ２ブログにじゃＸＳＳ脆弱性があるらしい。
　こんな感じのものだ。blogyabaiyo.com　はウソのＵＲＬです。

　特定のブログのＵＲＬ?ul=">
　例えば、こんな感じになる（サンプルなんでＵＲＬは架空のものです）。
　http://blogyabaiyo.com/?ul=">
　ＩＥで閲覧するとちゃんと「１」が表示されるのを確認できます。
　ついでにクッキーを読み取れるかもやってみた。
　http://blogyabaiyo.com/?ul=">
　見事に、当該サイトからのクッキー情報が表示された。これをこのままメールでどっかに送ればクッキー情報を簡単に盗める。

　ちなみに脆弱性は、ブログシステム本体ではなく、ブログパーツにあるようで、ブログ内検索やメールフォームなどを使っていると発生する。

セキュリティコラムばかり書いている PRISONER LANGLEY のブログ