[JVN#29188908]Joruri CMS 2017 におけるクロスサイト・スクリプティングの脆弱性

2019年6月7日

■概要
JPCERT コーディネーションセンターから、Joruri CMS 2017について次の脆弱性情報が公開されました。

脆弱性指摘の案件名: Joruri CMS 2017 におけるクロスサイト・スクリプティングの脆弱性
脆弱性指摘の取扱番号: JVN#29188908
情報掲載ページURL: https://jvn.jp/jp/JVN29188908/

本件については既に対策済みバージョンのリリース及び対策方法を公開しています。
以下の情報をご確認ください。


■詳細
該当するswfファイルのURLに任意のJavascriptコードをURL引数につけて、被害者に直接開かせることでブラウザ上で実行が可能となります。

未使用ファイルであるため、削除してください。
/_common/js/swfupload/swfupload.swf

■発生条件
攻撃者がURLに被害者を誘導した場合のみに影響があります。

■影響を受けるバージョン
本脆弱性は、Joruri CMS 2017 Release2以前のバージョンに影響があります。
Joruri CMS 2017 Release3以降のバージョンで対策済みです。

■対策方法
対象となる以下のファイルを削除してください。
/_common/js/swfupload/swfupload.swf