Web日記支援システムtDiaryにおいて、クロスサイトスクリプティング(XSS)脆弱性が発見されました。第三者が任意のスクリプトをカテゴリページに埋め込む危険性があります。以下の説明を読んで、早急な対応をお願いします。

対象

以下の条件満たす運用をしているtDiaryには、この問題が存在します。

以下のいずれかのバージョンのtDiaryを使用している(xは任意)

• tDiary 2.0.x
• tDiary 2.1.x

  かつカテゴリ機能を使っている(category.rbプラグインを有効にしている)

想定される影響

悪意ある第三者がこの脆弱性をついたリンクを生成することで、閲覧者にカテゴリページ上で任意のスクリプトを実行させることができます。

対策

同日にリリースされたtDiary 2.2.0へのバージョンアップを強く推奨します。特に開発版である2.1.xは安定版である2.2.0が出たことで終息したので、必ず2.2へのバージョンアップをしてください。

なんらかの理由で2.0を使い続ける場合には、以下のファイルを最新版に置き換えてください。

• core/skel/category.rhtml (→最新版)
• plugin/category.rb (→最新版)

ただし、最新安定版である2.2が出たことで、2.0系列もメンテ対象から外れます。早いうちに2.2へのバージョンアップをすることをお勧めします。

連絡先

本脆弱性に対する連絡は、ただただしsho@spc.gr.jpまでお願いします。

特に新たな脆弱性の指摘などは、本記事に対するコメントなどでいきなり公にするのではなく、E-mailにてお知らせくださいますよう、お願いいたします。

謝辞

本脆弱性情報は、下記の方から直接報告を受け、対応しました。ご指摘に感謝します。

植木修也