Nucleus(JP)フォーラム

NucleusCMS日本語版ユーザーのためのサポートフォーラムです。疑問が生じたらまずは記事検索をご利用ください。

ログインしていません。

#1 2006-11-26 08:36:51

Katsumi
メンバー
From: CA
登録日: 2005-06-24
投稿: 637
ウェブサイト

Re: プラグインの脆弱性を解決するプラグイン(NP_0TicketForPlugin)のリリースについて

Nucleusの幾つかのプラグインに脆弱性が発見されました。Nucleus(JP)チームでは、この脆弱性を解決するためのプラグインNP_0TicketForPluginを用意いたしましたので、リリースいたします。

このページからNP_0TicketForPluginをダウンロードし、インストールしてください。

プラグインオプション変更ページ以外に独自の管理ページを持つ物に、この脆弱性が存在する場合があります。

悪意のある第三者がこの脆弱性を利用するには、Super-admin権限もしくはブログ管理権限のあるユーザを悪意のあるWebページに誘導する必要があるため、危険度は高くはありません。しかし、もしこの脆弱性をつかれた場合にサイトを完全にコントロールされてしまう可能性もあります。

この脆弱性は、以下のプラグインを利用しているすべてのNucleus(2006年11月現在の最新版、3.24及び、それ以前のバージョン)に関係します。他にも、独自の管理ページを持つプラグインに同様の脆弱性が存在する可能性が在ります。

NP_MediaFiles
NP_Database
NP_Analyze
NP_MemberControl
NP_MultiTags
NP_Trackback
NP_Blacklist
NP_Clap
NP_Paint
NP_ImpExp
NP_MultipleCategories
NP_ContentsList
NP_ExtraSkinJP
NP_SkinSwitcher
NP_CT
NP_LinkList 0.53
NP_AWS

これらのうち、NP_0TicketForPluginのインストールで脆弱性が解決できるプラグインは以下の通りです。

NP_MediaFiles
NP_Database
NP_Analyze
NP_MemberControl
NP_MultiTags
NP_ContentsList (追記:一部解決できない機能があります。対処版をダウンロードしてください。)
NP_ExtraSkinJP (追記:一部解決できない機能があります。対処版をダウンロードしてください。)

以下のプラグインについては、この脆弱性を解決した最新版がすでに公表されているか近日中に公表されますので、それらの最新版を入手してインストールしてください。

NP_Trackback
NP_Blacklist
NP_Clap
NP_Moblog
NP_Paint
NP_ImpExp
NP_MultipleCategories
NP_SkinSwitcher
NP_CT
NP_LinkList 0.53
NP_AWS

(追記:サーバとして IIS をお使いの方は、申し訳ありませんが 1.1 にアップグレードしてください)

オフライン

#2 2006-12-07 17:19:08

Andy
メンバー
登録日: 2004-03-18
投稿: 1,495
ウェブサイト

Re: プラグインの脆弱性を解決するプラグイン(NP_0TicketForPlugin)のリリースについて

新版をリリースしました。

こちらからダウンロード

管理画面をログイン・ユーザー以外は使えなくし,アンインストール時にも利用できないようにしています。
インストールを強くお勧めします。

オフライン

Board footer