ここの情報は古いです。ご理解頂いた上でお取り扱いください。

Opened 13 years ago

Closed 13 years ago

#3365 closed defect (fixed)

マイフレンドからの紹介文がXSS攻撃に脆弱である

Reported by: kiwa Owned by: nagasawa
Priority: critical Milestone: OpenPNE3.0beta3
Component: plugins Version: 3.0.x
Keywords: opIntroFriendPlugin Cc:

Description

フレンドホーム(/pc_frontend_dev.php/member/1)・マイフレンドからの紹介文一覧(/pc_frontend_dev.php/introfriend/show/id/1)にて、マイフレンドの紹介文に

<script type="text/javascript">
<!--
 alert( "メッセージ");
//-->
</script>

のような!JavaScriptが書き込まれている場合、!JavaScriptが機能してしまう。

Change History (6)

comment:1 Changed 13 years ago by ebihara

Summary: マイフレンドからの紹介文でJavaScriptが機能するマイフレンドからの紹介文がXSS攻撃に脆弱である

comment:2 Changed 13 years ago by kiwa

Component: 指定しないplugins
Keywords: opCommunityTopicPlugin added
Priority: minormajor
Version: 3.0.x

comment:3 Changed 13 years ago by kiwa

Keywords: opIntroFriendPlugin added; opCommunityTopicPlugin removed

comment:4 Changed 13 years ago by kiwa

Priority: majorcritical

comment:5 Changed 13 years ago by nagasawa

Owner: changed from nobody to nagasawa
Status: newassigned

comment:6 Changed 13 years ago by nagasawa

Resolution: fixed
Status: assignedclosed

r10004 で修正しました。

Note: See TracTickets for help on using tickets.