スタッフブログ

  • カテゴリ TIPS小ネタ の最新配信
  • RSS

Smartyクロスサイトスクリプティングの脆弱性の修正

Ryuji : XOOPS » TIPS小ネタ 2012/11/14 5:59

Blogger's Avatar

http://jvn.jp/jp/JVN63650108/
でXOOPS Cubeでも利用しているSmartyにつていの脆弱性が報告されてます。

Smartyのバージョンアップをするのがベターなのですが、テンプレートにトリッキーな記述があったりすると、バージョンアップで動かなくなることもあるので、サクッとバージョンアップするわけに
はいかないケースもあると思います。

その場合は下記の様に現在のコードを修正することで回避してみてください。


XOOPS_ROOT_PATH/class/smarty/Smarty.class.php 1090行目あたりに下記の様なコードがあります。

    function trigger_error($error_msg, $error_type = E_USER_WARNING)
    {
        trigger_error("Smarty error: $error_msg,", $error_type);
    }

これを下記に書き換えてください。

    function trigger_error($error_msg, $error_type = E_USER_WARNING)
    {
        $msg = htmlentities($error_msg);
        trigger_error("Smarty error: $msg", $error_type);
    }

トラックバック

スタッフブログ最新
カテゴリ一覧

〒104-0061 東京都中央区銀座1丁目3番3号 G1ビル7階
お問い合わせ TEL 03-3524-8860

Copyright(c) 2012 RYUS.All Rights Reserved.