Fumy News Clipper2 - Hitokoto Bookmark Blog -

▼脆弱性の影響

Ver 2.4.0以下のCGI本体（hb.cgiファイル）には、クロスサイトスクリプティングの脆弱性が存在しており、 特定のURLへ閲覧者を誘導すれば、閲覧者のブラウザ上で任意のスクリプトを実行されてしまう可能性があります。

▼対象バージョンの確認方法

CGIの本体ファイルである hb.cgi のソースをご覧になるか、またはCGIの管理画面をブラウザでご確認下さい。

• ※ソースで確認する場合：
  hb.cgi をテキストエディタで読み込むと、4行目にバージョン番号の表記があります。
• ※管理画面で確認する場合：
  CGIをカスタマイズせずに使用している場合は、管理画面(コントロールパネル)の最上部に必ずバージョン番号が表示されています。 管理画面を表示するには、CGIを公開しているURLの末尾に「 ?mode=admin 」を加えて下さい。 バージョン番号は、ログインしなくても表示されます。

このバージョンが、「2.4.0」以下であれば、脆弱性があります。(2.4.0を含みます)

▼対策方法

脆弱性を解消した最新版へのアップデートをお願い致します。
本件の脆弱性を解消した最初のバージョンは、 Ver 2.5.0 です。極力、最新版をご利用下さい。
バージョンアップ方法は、下記の配布ページ内に記載しています。
→ Fumy News Clipper2 配布ページ

▼関連情報

JVN#33735535 (公表日：2015/01/30)

本件の脆弱性情報をご報告下さった方、調整機関の方々に感謝申し上げます。