piCal-0.91h にXSSが見つかりました。
以下のいずれかの対策をとることをお奨めします。
(1) 最新版(0.92以上)にアップデートする(特にカスタマイズ等していない場合)
(2) 最新版(0.92以上)からindex.phpのみ抜き出して上書きする(あちこち手を入れている場合)
(3) 自分でパッチを当てる(ある程度スキルがあり、運用環境への影響を最小限にしたい場合)
単純な見落としXSSで、見つかったのも1行だけなので、手作業でも簡単です。
index.php 154行目
$xoopsTpl->assign( 'print_link' , "$mod_url/print.php?event_id={$_GET['event_id']}&action=View" ) ;
$xoopsTpl->assign( 'print_link' , "$mod_url/print.php?event_id=".intval($_GET['event_id'])."&action=View" ) ;
なお、Protectorをちゃんとインストールして、「
大きな
傘 anti-XSS」を
有効にしていれば
慌てる
必要はありません。
極めて
典型的なXSSなので、このanti-XSSがバッチリ
効きます。
それでも、
何かのついでにpiCalをアップデートしておいた
方が
良いでしょう。
ぶっちゃけた
話、piCalは
私がJM2さんに
師事する
前に
書いたWebアプリケーションなので、
元は「
全部穴」でした。その
状態のアプリケーションに
修正・
修正を
重ねてここに
至っているので、
他にも
見落としがある
可能性はまだあります。(JM2
師匠なら「
捨てろ」の
一言でしょうが
)しかも、
今はほとんどメンテしてませんので、
今後、
私が
自分で
穴を
見つける
可能性も
低いでしょう。
piCalを
使い
続けるのであれば、Protectorの「
大きな
傘 anti-XSS」を
有効にすること(または
有効であると
確認すること)を、
強くお
奨めします。
もちろん、piCalを
使わない
人にもお
奨めします。
多くのユーザがこの「
大きな
傘」を
長い
期間利用しているはずですが、それによる
不具合報告は1
件もなかったので、
少なくとも
副作用はほぼ
問題ないと
言えそうですから。