PEAK XOOPS - piCal-0.91のXSS脆弱ぜいじゃく性せい

piCal-0.91h にXSSが見みつかりました。

以下いかのいずれかの対策たいさくをとることをお奨すすめします。

(1) 最新さいしん版ばん(0.92以上いじょう)にアップデートする（特とくにカスタマイズ等とうしていない場合ばあい）
(2) 最新さいしん版ばん(0.92以上いじょう)からindex.phpのみ抜ぬき出だして上書うわがきする（あちこち手しゅを入いれている場合ばあい）
(3) 自分じぶんでパッチを当あてる（ある程度ていどスキルがあり、運用うんよう環境かんきょうへの影響えいきょうを最小限さいしょうげんにしたい場合ばあい）

単純たんじゅんな見落みおとしXSSで、見みつかったのも１行ぎょうだけなので、手作業てさぎょうでも簡単かんたんです。
index.php 154行ぎょう目め

なお、Protectorをちゃんとインストールして、「大おおきな傘かさ anti-XSS」を有効ゆうこうにしていれば慌あわてる必要ひつようはありません。極きわめて典型てんけい的てきなXSSなので、このanti-XSSがバッチリ効ききます。
それでも、何なにかのついでにpiCalをアップデートしておいた方ほうが良よいでしょう。

ぶっちゃけた話ばなし、piCalは私わたしがJM2さんに師事しじする前まえに書かいたWebアプリケーションなので、元もとは「全部ぜんぶ穴あな」でした。その状態じょうたいのアプリケーションに修正しゅうせい・修正しゅうせいを重かさねてここに至いたっているので、他ほかにも見落みおとしがある可能かのう性せいはまだあります。（JM2師匠ししょうなら「捨すてろ」の一言ひとことでしょうが）しかも、今いまはほとんどメンテしてませんので、今後こんご、私わたしが自分じぶんで穴あなを見みつける可能かのう性せいも低ひくいでしょう。

piCalを使つかい続つづけるのであれば、Protectorの「大おおきな傘かさ anti-XSS」を有効ゆうこうにすること（または有効ゆうこうであると確認かくにんすること）を、強つよくお奨すすめします。
もちろん、piCalを使つかわない人ひとにもお奨すすめします。
多おおくのユーザがこの「大おおきな傘かさ」を長ながい期間きかん利用りようしているはずですが、それによる不具合ふぐあい報告ほうこくは１件けんもなかったので、少すくなくとも副作用ふくさようはほぼ問題もんだいないと言いえそうですから。