-オープンソースのSNSエンジン OpenPNEプロジェクト-

opTimelinePlugin 1.2.11 以下に存在する XSS脆弱性 の修正のお知らせ(OPSA-2023-001)

12 / 14 木曜日 2023

opTimelinePlugin 1.2.11 以下 には、ニックネームに含まれる任意のスクリプトが表示時に実行されてしまう XSS脆弱性が存在します。
この問題の対策版として opTimelinePlugin 1.2.11.1 のリリースを行いましたので、内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。

概要

opTimelinePlugin 1.2.11 以下 には、ニックネームに含まれる任意のスクリプトが表示時に実行されてしまう XSS脆弱性が存在します。

本問題について

影響を受けるシステム

opTimelinePlugin 1.2.11 以下 を使用しているサイト

想定される影響

下記手順にて操作を行うことで、ニックネームに含まれる任意のスクリプトが表示時に実行されてしまう。
1. 管理画面 > デザイン設定 > ガジェット設定 にて、ホーム画面に「SNSメンバーのタイムライン」ガジェットを設置する
2. プロフィール編集にてニックネームに任意のスクリプトを設定する
3. JSON API を利用してタイムライン投稿を行う

対策方法

本問題への対応方法

「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下の対応を実施してください。

opTimelinePlugin

プラグインのリリース情報を参考に更新をおこなってください。

謝辞

本脆弱性は、GMOサイバーセキュリティ byイエラエ株式会社 の 石井 健太郎 氏よりご報告を頂きました。
また本脆弱性は、IPA によって報告がなされ、 JPCERT/CC による調整をしていただきました。

報告者の方、および、本問題の解決にあたられた関係者各位に対して厚く御礼申し上げます。

関連情報

この問題については、2024/02/29(木)に、「JVN#78084105 OpenPNE 用プラグイン opTimelinePlugin におけるクロスサイトスクリプティングの脆弱性」として下記の URL で公開されました。
https://jvn.jp/jp/JVN78084105/
English: https://jvn.jp/en/jp/JVN78084105/

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。

https://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

ページの先頭に戻る