Webコンテンツ管理のHikiにクロスサイトスクリプティングの脆弱性が見つかる | ScanNetSecurity
2025.10.13(月)

Webコンテンツ管理のHikiにクロスサイトスクリプティングの脆弱性が見つかる

サイバーディフェンス社からの情報によると、開発言語のRubyで実装されたWebコンテンツ管理のHikiは、Wikiエンジンの一種である。Hikiにおいて、リモートからクロスサイト・スクリプティング攻撃が可能な脆弱性が見つかった。また、管理画面の保存クエリーにより設定ファ

製品・サービス・業界動向 業界動向
15 views
facebookLINE
サイバーディフェンス社からの情報によると、開発言語のRubyで実装されたWebコンテンツ管理のHikiは、Wikiエンジンの一種である。Hikiにおいて、リモートからクロスサイト・スクリプティング攻撃が可能な脆弱性が見つかった。また、管理画面の保存クエリーにより設定ファイルが消える可能性がある。この脆弱性により、リモートの攻撃者がJavaScriptなどのスクリプトコードをページに埋め込んだ場合、ログイン中のユーザのセッションIDが盗まれたり、不正に設定を変更される可能性がある。存在しないページを参照した際に返される新規作成を促すページ内で、ページ名のエスケープ処理が洩れていたため、JavaScriptなどのスクリプトコードが埋め込まれる可能性がある。また、ログインへのリンクの中に閲覧中のページを含めているが、そのページ名のエスケープ処理が洩れていたため、JavaScriptなどのスクリプトコードを埋め込むことが可能である。

※この情報は株式会社サイバーディフェンス
 ( http://www.cyberd.co.jp/ )より提供いただいております。
 サイバーディフェンス社の CyberNoticeBasic サービスの詳細については
 下記のアドレスまでお問い合せください。
 問い合わせ先: scan@ns-research.jp
 情報の内容は以下の時点におけるものです
 【23:15 GMT、08、04、2005】

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 古野電気への不正アクセス、高度な手法を用いてのサイバー攻撃を受けたと判断

    古野電気への不正アクセス、高度な手法を用いてのサイバー攻撃を受けたと判断

  2. 竹内製作所の連結子会社にランサムウェア攻撃、サーバに保管されている一部のファイルが暗号化

    竹内製作所の連結子会社にランサムウェア攻撃、サーバに保管されている一部のファイルが暗号化

  3. 銀行内部の顧客格付け情報が漏えい 常陽銀行

    銀行内部の顧客格付け情報が漏えい 常陽銀行

  4. 自称 “トヨタカローラ ペネトレーション” を武器にサイバー犯罪帝国に挑んだ研究者

    自称 “トヨタカローラ ペネトレーション” を武器にサイバー犯罪帝国に挑んだ研究者

  5. 日本セラミックへのランサムウェア攻撃、新たに取引先・関係者に関する情報流出が判明

    日本セラミックへのランサムウェア攻撃、新たに取引先・関係者に関する情報流出が判明

ランキングをもっと見る
PageTop
ホーム 製品・サービス・業界動向 業界動向 記事
TOP