7 年目のバグの底知れぬ影響力、CAPTCHA の大混乱~ JQuery Validation Plugin デモスクリプトが修正される(The Register) | ScanNetSecurity
2026.07.13(月)

7 年目のバグの底知れぬ影響力、CAPTCHA の大混乱~ JQuery Validation Plugin デモスクリプトが修正される(The Register)

「このセキュリティのバグは、それが生まれて以来、何万ものウェブサイトに広がってきたように見える。あくまでも大雑把な推測ではあるが、このバグの影響を受けるウェブサイトが 20,000 あったとしても、私は驚かない」

国際 TheRegister
CAPTCHA で利用される jQuery Validation Plugin のデモスクリプトの欠陥(7 年前から存在していた)のおかげで、一晩かけて修復された反射型クロスサイトスクリプティング(reflected XSS)の問題は、数百万ものウェブサイトに影響を及ぼすかもしれない、とオランダのペンテスター Sijmen Ruwhof が語っている。

この CAPTCHA の「深刻な」脆弱性は、2007 年から存在していたものと見られており、それは危険に晒されたサイト(そのデモスクリプトを利用しているサイト)への反射型クロスサイトスクリプティング(reflected XSS)攻撃を通したハイジャックに繋がるものだ。

Ruwhof は 8 月にクライアントペネトレーションテストを行っていた際、偶然、この jQuery Validation Plugin の欠陥に気がついた。それから彼は「jQuery のメンテナンスに関連づけられた複数のメールアドレス」に宛てて、それを何度も通知したものの、耳を傾けられず、パッチは適用されなかったと主張している。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 京都芸術大学がパソコン・ソフトウェアの斡旋販売で利用している加賀ソルネット運営の「アカデミコナビ」に不正アクセス

    京都芸術大学がパソコン・ソフトウェアの斡旋販売で利用している加賀ソルネット運営の「アカデミコナビ」に不正アクセス

  2. テレビ朝日メディアプレックスに不正アクセス

    テレビ朝日メディアプレックスに不正アクセス

  3. マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

    マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

  4. 中部テレコミュニケーションの顧客 727,176 名分のメールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

    中部テレコミュニケーションの顧客 727,176 名分のメールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

  5. KDDI の ISP 事業者向けメールシステムに不正アクセス、ゼロデイ脆弱性を悪用

    KDDI の ISP 事業者向けメールシステムに不正アクセス、ゼロデイ脆弱性を悪用

ランキングをもっと見る
PageTop