Hiki Advisory 2005-07-21

Hiki Development Team

2005-07-21

I. 概要

Ruby で実装された Wiki エンジンの一種である Hiki において、クロスサイト・スクリプティングの問題が発見されました。悪意あるユーザが JavaScript 等のスクリプトコードを埋め込むようなページ編集を行った場合、該当するページを閲覧したユーザのブラウザ上でスクリプトが実行される可能性があります。

II. 対象

この問題に関して、下記のバージョンについて確認しました。

Hiki 0.8.0 - 0.8.1

問題あり

Hiki 0.6.6

問題なし

III. 問題点

Hiki 0.8.0 - 0.8.1 では、プラグイン書式内の文字列について「&」「<」「>」をエスケープしていましたが、「"」をエスケープしていなかったため、一部のプラグインで JavaScript 等のスクリプトコードを埋め込むことが可能になっていました。

IV. 修正点

Hiki 0.8.2 では、プラグインに渡される各引数の文字列について「"」をエスケープすることでこの問題に対処しました。

V. 対策

Hiki 開発チームでは、この問題への対策を施したバージョンとして 0.8.2 を公開しています。各ベンダや配布元の提供するパッチの適用や問題を修正したパッケージへの更新などをご検討ください。詳細については、各ベンダや配布元の提供する最新情報や関連文書をご参照ください。

[関連文書]

※ 随時更新されていますので最新版をご確認ください。

• Hiki Official Site http://hikiwiki.org/

[改定履歴]

:2005/07/21 1.0 <http://hikiwiki.org/ja/advisory20050721.html>:最初の公開バージョン。