ブロードバンドサービス「BROBA」の掲示板にCSS脆弱性が見つかる | ScanNetSecurity
2026.07.09(木)

ブロードバンドサービス「BROBA」の掲示板にCSS脆弱性が見つかる

──────────────────────────────〔Info〕─
☆' S┃D┃E┃X┃個┃人┃向┃け┃キ┃ャ┃ン┃ペ┃ー┃ン┃!┃。* ☆
* 。━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛ ○。
○ o。* ☆o'*o。 期┃間┃限┃定┃!

製品・サービス・業界動向 業界動向
──────────────────────────────〔Info〕─
☆' S┃D┃E┃X┃個┃人┃向┃け┃キ┃ャ┃ン┃ペ┃ー┃ン┃!┃。* ☆
* 。━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛ ○。
○ o。* ☆o'*o。 期┃間┃限┃定┃!┃9┃8┃0┃0┃円┃* ☆o。*O
≪12/1〜1/9まで≫ ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛。o* ☆.。
詳細→ http://www.vagabond.co.jp/cgi-bin/ct/p.cgi?sdx01_netsec
───────────────────────────────────


 エヌ・ティ・ティ・ブロードバンドイニシアティブ株式会社の提供するブロードバンドサービス「BROBA( http://www.broba.cc/ )」にクロスサイトスクリプティング(CSS)脆弱性が発見された。

 今回CSS脆弱性が発見されたのは、BROBA会員に無料で提供されている掲示板システム。なお、本件は外部の第三者によって編集部へと通報された。この掲示板システムでは、ユーザの入力をチェックせずに出力しており、悪意スクリプトなどを埋め込むことにより、サイト訪問者に被害を与えることが可能となっていた。
 編集部から、BROBAへと通報した数日後、BROBAより「修正しました」との返事をもらう。もとの通報者へと確認したところ、修正が不十分であることが判明する。

 BROBA側で行われた修正は、入力時に正規表現処理によって回避しようというもの。しかし、この方法ではタグなどはサニタイジングされないため、脆弱性が残ってしまっていた。

 また、チェックをするのが入力時のみであり、表示する際には何らチェックが行われていないため、もとの通報者が書き込んである攻撃コードは、この段階でも有効なままであった。(IPAなどでは、表示時にサニタイジングすることを推奨している)

 なお、本件(修正が不十分であり脆弱性が残っている件)については、BROBAへと通報済みであるが、現在のところその後の対応についてBROBAからの連絡は入っていない。

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

    5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

  2. 2,248,708 名分の @nifty メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

    2,248,708 名分の @nifty メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

  3. KDDI の ISP 事業者向けメールシステムへの不正アクセス、総務省が報告を求める

    KDDI の ISP 事業者向けメールシステムへの不正アクセス、総務省が報告を求める

  4. マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

    マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

  5. STNet のメールサービスを利用する 397,152 名分のアドレスとパスワードが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

    STNet のメールサービスを利用する 397,152 名分のアドレスとパスワードが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

ランキングをもっと見る
PageTop