tDiary.org

Web日記支援システムtDiaryにおいて、クロスサイトスクリプティング(XSS)脆弱性が発見されました。脆弱性が発現する環境が限定的なので、以下の説明を読み、対象の環境をお使いの方は早急な対応をお願いします。 対象 この問題が存在するtDiaryは以下のバージョンです。 tDiary 2.2.2 およびそれ以前 (フルセットおよびプラグイン集) 上記バージョンのtDiaryを使い、さらに以下の条件をすべて満たした場合に発生します。 tb-send.rbプラグインが有効になっている Microsoft Internet Explorer 7 (IE7)を使っている (トラップとなるURLを経由して)日記を更新する 問題が発現するブラウザに制約があり、現在のところ確認されているのはIE7を使って日記を更新する場合のみになります(これより古いブラウザでも発生する可能性がありますが、開発元では確

[nilab]

tDiary.org - tDiaryの脆弱性に関する報告(2010-02-25) : クロスサイトスクリプティング(XSS)脆弱性 : tb-send.rbプラグイン

[cubed-l]

IE7のみねぇ…

[tsupo]

tDiary 2.2.2 およびそれ以前 / tb-send.rbプラグインが有効になっている / IE7 / (トラップとなるURLを経由して)日記を更新する

[hasegawayosuke]

「IE7を使って日記を更新する場合のみ」←詳細知りたい。

[Gaju]

tb-send.rb+IE7/2.2.2以前の問題/開発版2.3系では発生しない