Mayaa 1.1.22 以前にクロスサイトスクリプティングの脆弱性 - Mayaa, JavaServer Templates

2008/12/25

Mayaa 1.1.22 以前にクロスサイトスクリプティングの脆弱性

公開日 2008/12/25

Mayaa 1.1.22 以前にはクロスサイトスクリプティングの脆弱性があります。下記の発生条件に合致する場合、下記の対応方法を取ってください。

発生条件

以下のいずれかの条件に当てはまる場合に攻撃が成功する恐れがあります。

org.seasar.mayaa.impl.engine.PageNotFoundException の例外を扱うページが標準のエラーページのまま
例外のメッセージにユーザからの入力をそのままセットしており、かつその例外を使うページが標準のエラーページのまま

対応方法

以下の２つのうち、いずれかの対応方法をとってください。

Mayaa を 1.1.23 にバージョンアップする
クロスサイトスクリプティングの脆弱性のないエラーページを使うようにする

関連情報

JVN#17298485 Mayaa におけるクロスサイトスクリプティングの脆弱性

謝辞

本脆弱性をご報告くださったNECソフト株式会社中村哲男様に感謝いたします。
調査、対応にご協力いただきました JPCERT/CC 関係者の皆様に感謝いたします。

更新履歴

2008/12/25
公開