本当は怖いFuelPHP 1.6までのRestコントローラ — A Day in Serenity (Reloaded) — PHP, CodeIgniter, FuelPHP, Linux or somethingFuelPHP Advent Calendar 2013の24日目です。昨日は、@mycb750さんの「Heroku(PaaS)でFuelPHP環境(PHP5.3 + MySQL + Apatch)を構築する」でした。 FuelPHP 1.6までには、Restコントローラを使うとXSS脆弱性を作り込みやすい隠れ機能(アンドキュメントな機能)がありました。 具体的には、公式ドキュメントのサンプルコードをそのまま実行すれば、XSSが可能でした。 ただし、FuelPHP 1.7ではバグのためエラーが発生しXSSは成立せず、1.7.1で修正されました。 なお、この問題を重視しているのは世界中で私1人かも知れませんので、実際に影響があるユーザは少ないのかも知れません。本家はセキュリティ勧告は出しませんでした(Changelogに仕様変更の記述はあります)し、fuelphp.jp Googleグループ
