開発版 OpenPNE 3.5.2 以降には、いくつかの箇所においてユーザ入力値の処理が適切におこなわれていないことによる XSS 脆弱性が存在します。
本日（8/18）、この問題の対策版として OpenPNE 3.6beta3 のリリースをおこないましたので、内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。

なお、安定版としてリリースをおこなっている OpenPNE 3 系（OpenPNE 3.0, OpenPNE 3.2, OpenPNE 3.4）は本問題の影響を受けません。

本問題について

影響を受けるシステム

すべての OpenPNE 3.5.2 から OpenPNE 3.6beta2

概要

OpenPNE 内のいくつかの箇所において、ユーザ入力値の処理が適切におこなわれておらず、閲覧者のブラウザ上で任意のスクリプトが実行可能な状態にありました。

想定される影響

ターゲットとなったSNSで閲覧メンバーが登録している非公開情報の漏洩・なりすましログインなどを許してしまう可能性があります。

対策方法・回避方法

本エントリの「本問題への対応方法」をご覧ください。

本問題への回避方法はありません。早急なバージョンアップをお願いいたします。

謝辞

本問題について、 kinugawamasato 様からご報告をいただきました。厚く御礼申し上げます。

本問題への対応方法

OpenPNE 3.5.2 以降を利用しているすべての SNS は、 OpenPNE 3.6beta3 へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.6beta3

[.zip 版ダウンロード] [修正パッチ]

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書をご覧ください。

• OpenPNE 3.6beta3 バージョンアップ手順書

このドキュメントの手順はマイナーバージョンアップにも有効です。

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

4. 以下のコマンドを実行します

$ ./symfony openpne:migrate