MODxのコアパッケージに同梱されているスニペット「Reflect」と「WebLogin」に、危険度の高いRFI脆弱性とXSSの脆弱性が発見された。 影響を受けるのは、PHPの設定でregister_globalsが有効になっている環境。第三者がReflectを利用してサーバ内の任意のスクリプトを実行することができてしまう。また、allow_url_fopenも有効になっている場合は外部のスクリプトも実行することができ、サーバが乗っ取られるなどの非常に危険な攻撃を受ける可能性がある。 今回のRFI脆弱性の原因はReflect本体の脆弱性というよりは、本来、マネージャにコピー&ペーストして利用するためのファイルがコアパッケージに同梱されていることにある。そのため、サーバ内の/assets/snippets/reflect/snippet.reflect.phpを削除して対処すれば、Refle