Nucleus CMS 3.62の脆弱性とその修正に関して

Nucleus CMS 3.62に脆弱性を発見しました。フォーラムの下記の投稿において、対策となるパッチファイルの提供を開始しました。

Nucleus CMS ver 3.62 の createaccount.phpにXSS脆弱性

脆弱性を持つのは、ビジター・アカウントを申請するcreateaccount.phpというPHPスクリプトです。申し訳ありませんが、配布中のパッケージに含まれるこのスクリプトはパースエラーを含んでいるため、そのままでは動作しません。このスクリプトを修正して使っているユーザが、NucleusCMSの設定でビジター・アカウント申請を許可している場合、特定のサーバ環境において、脆弱性が出現します。

具体的には以下の条件をすべて見たしている場合です。

  1. 3.62パッケージに含まれるcreateaccount.phpのPHP文法の誤りを修正して使っている。
  2. 「グローバル設定」の「メンバー設定」で、「ビジターによるメンバーアカウント作成を可能にする」を「はい」に設定している。
  3. PHPの設定で、registerglobals=ONとしている。

Nucleus CMS本家でもこのスクリプトに対する脆弱性が報告されており、2011/03/01に3.63をリリースしました。日本語版リリースチームでも、この脆弱性に対する修正のほか、軽微な修正を含めたパッケージを準備中です。
March 06, 2011 - Permalink

開発について

Nucleus CMS日本語版は、日本語版パッケージリリースチームが開発をしています。メーリングリストNucleus-jp-developersで情報の共有をしています。

プロジェクトの趣旨は、日本語が扱えるNucleus CMSのリリースを続けることと、Nucleus CMS日本コミュニティの運営です。加えて現在はオリジナルのNucleus CMSに対し、より妥当な多言語化のための改善を加えるよう働きかけをおこなっています。

リリースプロジェクトはGitHubにホスティングしています。ソースコードのバージョン管理にはgitを利用しています。

開発に参加したい方は、GitHubを通じてプルリクエストをお送りください。