JPCERT/CCの勧告に基づき,本家から Geeklog-1.4.0.sr5, 1.3.11sr7がリリースされた。コメントの扱いに問題があり,クロスサイトスクリプティング(XSS)の危険性があるらしい。
直近のセキュリティリリースを適用しているサイトでは,ファイルを1個差し替えるだけ(1.4.0sr4は lib-comment.php, 1.3.11sr6はcomment.php)なので,対応も簡単。
それ以前のバージョンの場合は,完全なターボールしか提供されていない。さっさと対応をすませるのが吉。
タグ:
geeklog セキュリティ xss