ブログ - Smarty にクロスサイトスクリプティングの脆弱性

Smarty にクロスサイトスクリプティングの脆弱性

カテゴリ : 
不具合情報 » その他
執筆 : 
masa 2012/10/17
Smarty にクロスサイトスクリプティングの脆弱性が見つかった

- Smarty 3.1.11 およびそれ以前
- Smarty 2.6.26 およびそれ以前

JPCERT コーディネーションセンター Weekly Report
XCL に使われている Smarty は xoops_trust_path/libs/smarty にあり、
2.2.1 同梱の Smarty.class.php を見ると

var $_version = '2.6.26'

となっていた。

更新が必要だろう。

Smarty 2.6.27 (Sep 25th, 2012) のダウンロードは↓から
Download | Smarty

■XCLへの導入

上記でダウンロードしたファイル(.zip版)を一時的に展開する。

% unzip Smarty-2.6.27.zip
% (cd Smarty-2.6.27/libs/; tar -cf - .) | (cd xoops_trust_path/libs/smarty; tar -xf -)

上書きでインストールしないといけないのは、XCL がプラグインを追加しているため。


関連記事
管理画面トップに Smartyのバージョンを表示する
  • トラックバック (0)
  • 閲覧 (6173)