はっぴぃ・りなっくすが開発したXOOPS用モジュール「XF-Section」にクロスサイトスクリプティングの脆弱性が見つかり、情報処理推進機構（IPA）セキュリティセンターとJPCERTコーディネーションセンター（JPCERT/CC）が9月17日に情報を公開した。

　XF-Sectionはコンテンツのカテゴリ分け機能などを提供するモジュール。脆弱性はXF-Section 1.12aに存在しており、悪用されるとユーザーのブラウザ上で任意のスクリプトを実行される恐れがある。

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC がベンダとの調整を行いました。
報告者: 大野 雅子 氏

JVN#00425482: XF-Section におけるクロスサイトスクリプティングの脆弱性