クロスサイトスクリプティング脆弱性について

当サイトで公開・配布しているフリーCGI「Fumy Teacher's Schedule Board」の Ver 1.10～2.21には、クロスサイトスクリプティングの脆弱性があります。最新版では解決しておりますので、早急に最新版へのアップデートをお願い致します。

Ver 1.10～2.21のスケジュール表示要CGI（schedule.cgiファイル）には、クロスサイトスクリプティングの脆弱性が存在しており、特定のURLへ閲覧者を誘導すれば、閲覧者のブラウザ上で任意のスクリプトを実行されてしまう可能性があります。

CGIの本体ファイルである schedule.cgi のソースをご覧になるか、またはCGIの管理画面をブラウザでご確認下さい。

※ソースで確認する場合：
schedule.cgi をテキストエディタで読み込むと、4行目にバージョン番号の表記があります。
※管理画面で確認する場合：
CGIをカスタマイズせずに使用している場合は、管理画面(コントロールパネル)の最上部に必ずバージョン番号が表示されています。管理画面は、ブラウザで admin.cgi にアクセスすると表示されます。(バージョン番号は、ログインしなくても表示されます。)

このバージョンが、1.10 ～ 2.21であれば、脆弱性があります。

脆弱性を解消した最新版へのアップデートをお願い致します。
本件の脆弱性を解消した最初のバージョンは、 Ver 2.22 です。
バージョンアップ方法は、下記の配布ページ内に記載しています。
→ Fumy Teacher's Schedule Board 配布ページ

JVN#74547976 (公表日：2015/03/26)

本件の脆弱性情報をご報告下さった方、調整機関の方々に感謝申し上げます。