2019年12月 8日(日) 01:20 JST

Geeklogに2つの脆弱性

  • 投稿者:
  • 表示回数 3,486
Geeklog

遅ればせながら,先ほどGeeklog.jpに2つの脆弱性に関する記事を投稿した。

1つ目は,CSRF(Cross-Site Request Forgery)攻撃に関するもので,Geeklogに管理者としてログインしている場合,予期しないフォームを送信するなどの危険性がある。Geeklog-1.5.0では,フォーム表示時にデータベースにトークンを登録し,POST時に照合するというオーソドックスな対策をとっている。大規模なコードの改修を伴うため,Geeklog-1.4.xではこの問題に対応できない。せいぜい,管理者としてログインする期間を短くし,こまめにログアウトを心がけるしかない。

2つ目は,Geeklog内部でHTMLフィルタとして使用されているksesライブラリに脆弱性が見つかったというもの。HTMLフィルタでstyle属性を許可していなければ,問題にはならない。まあ,普通の管理者なら,一般ユーザに <img>タグや style属性の使用を許可してはいないだろうが...

そろそろ当サイトも1.5.0にアップグレードしなければならない状況になったようだ。しばらくは,自作のプラグインのアップグレードにまで手が回りそうにない。

タグ:セキュリティ csrf kses geeklog-1.5