溝口 令雄
mizog****@gmail*****
2010年 3月 17日 (水) 14:29:36 JST
Kenji 様 お世話になっております。 いつも貴重な情報を提供して頂きまして、ありがとうございます。 Kenji Suzuki <kenji****@gmail*****> さんwrote: > CodeIgniter 1.7.2 の Formヘルパー の set_value() で同じフィールドを > 2回目以上表示すると 2回目以降は文字参照に変換されず XSS脆弱性になる > 可能性があります。 まさにこのような実装をするところでした…大変助かりました。 ■脆弱性関連情報の届出 http://www.ipa.go.jp/security/vuln/report/ には登録されてますでしょうか? JVNで周知されるべきレベルの問題のようにも思います。 よろしくお願いいたします。 __________________________ _________________________________________/ Original Message Subj: [Codeigniter-users] 【注意喚起】CodeIgniter 1.7.2 Formヘルパーの 脆弱性 From: Kenji Suzuki <kenji****@gmail*****> To : codei****@lists***** Cc : -- Date: 2010/03/16 10:07:28 > Kenji です。 > > > CodeIgniter 1.7.2 の Formヘルパー の set_value() で同じフィールドを > 2回目以上表示すると 2回目以降は文字参照に変換されず XSS脆弱性になる > 可能性があります。 > > 詳細 > http://d.hatena.ne.jp/Kenji_s/20100316/1268701194 > > これ、なかなか修正されないのでバグでないのかも知れませんが。 > このバグに当たるような実装をすることは少ないと思いますが、知らずに > やってしまうと危険ですので、注意喚起しておきます。 > > > 本家では、以下に書き込みがあります。バグだと思われる方は、「バグなの > で > 直してくれ」みたいなことを書き込んでもらえるといいかもしれません。 > > * http://codeigniter.com/bug_tracker/bug/11284/ > * http://codeigniter.com/forums/viewthread/139112/ > > > // Kenji > > _______________________________________________ > Codeigniter-users mailing list > Codei****@lists***** > http://lists.sourceforge.jp/mailman/listinfo/codeigniter-users ____________________________________________________________________
