待辦事項 #30130

CSRF脆弱性対応

啟用日期: 2012-11-18 16:23 最後更新: 2012-11-18 16:25

回報者:
負責人:
類型:
狀態:
開啟 [Owner assigned]
元件:
(無)
里程碑:
(無)
優先權:
5 - 中
嚴重程度:
5 - 中
處理結果:
檔案:

細節

wifkyページの管理者がログインしたまま、第三者が設置した「罠ページ」を踏んでしまうと

  • 凍結されたページの本文の変更
  • 禁止された状態でのページの新規作成
  • 凍結されたページの添付ファイルアップロード
  • 設定変更(ただし、パスワード変更を除く)
  • ページ本文の凍結/解除
  • タグの設定/削除
  • ページ名・添付ファイル名のリネーム
  • ページ内容のロールバック
  • 添付ファイルの凍結/凍結解除/ページ間移動

が可能になる。

(なお、安全のため、当問題の存在は解決まで非公開にしておりました)

Ticket History (2/2 Histories)

2012-11-18 16:23 Updated by: iyahaya
  • New Ticket "CSRF脆弱性対応" created
2012-11-18 16:25 Updated by: iyahaya
評語
  • 2012.10.31公開の 1.5.11_3 にて、開発版本体の対応は完了。
  • プラグインについては、今後、順次対応予定
  • 安定版については対応するか、サポート終了扱いにするか、検討

Attachment File List

No attachments

編輯

You are not logged in. I you are not logged in, your comment will be treated as an anonymous post. » 登入