複数プラグインのセキュリティ脆弱性を解消

コアとプラグインに関わる形でのセキュリティ脆弱性の報告を受け、対象プラグインが脆弱性対応を済ませるまでの暫定的な対策として当プラグインをリリースします。同じ仕組みで動作する他プラグインにも有効と思われます。

このプラグインで解消できない脆弱性を持つプラグインもあり、それらはプラグイン自身のアップデートが必要です。

このプラグインは以下のプラグインの脆弱性を解消いたします。対象となるプラグインをお使いの方は必ず導入をお願いいたします。

• 以下のプラグインのSQLインジェクション脆弱性。
  • NP_ShowBlogs(脆弱性に対応した最新版がリリースされました)
  • NP_MultiBlogs
  • NP_MultiTags
  • NP_SC

• NP_ShowBlogs互換のページスイッチを持つプラグインのクロスサイトスクリプティング脆弱性。
  現状で確認されているプラグインは以下の物です。
  • NP_ShowBlogs(脆弱性に対応した最新版がリリースされました)
  • NP_MultiBlogs
  • NP_MultiTags
  • NP_TitleList(脆弱性に対応した最新版がリリースされました)
  • 他。

明記したプラグイン以外にも脆弱性が存在する可能性があります。 URLでpage=1、page=2として次の記事一覧を表示するタイプの物に同様の脆弱性がある可能性がありますので、できるだけ脆弱性解消プラグインの導入をお願いします。

この脆弱性解消プラグインは、インストールすることでプラグインリストの1番上に表示され、コアと他のプラグインの間でデータのサニタイズ(攻撃に使われる可能性のある文字の無効化)を行います。設定は必要ありません。

複数の環境でテストを行いました。不具合は確認されていませんが、もしもインストール後にブログの表示がおかしくなった等の不具合がありましたらフォーラムへご報告をいただきますようお願いいたします。

[追記]NP_SortPlugin や NP_PermutePlugins で並べ替えランクを設定してあると、NP_0PatchBlogid が一番上に来ません。その場合は各々手動で並べ替えプラグインの方の設定を変更してください。

• 以下のプラグインをインストールしている方はセキュリティ修正版がリリースされておりますので、リンクより修正版をダウンロードし、必ずアップデートしてください。（NP_0PatchBlogidでは解決しません）
  • NP_CustomURL　http://japan.nucleuscms.org/wiki/plugins:customurl
  • NP_Analyze　http://japan.nucleuscms.org/bb/viewtopic.php?t=1626

今後、プラグイン単体でセキュリティ脆弱性を解決したバージョンが出てくるかと思いますので、順次アップデートをお願いいたします。

なお、Nucleus3.22以前には既知の脆弱性があり、攻撃方法も知られています。 3.22以前をお使いの方はこの機会に3.24へのアップデートをお願いいたします。

1. Zipファイルを展開して、中身をサーバーのプラグインディレクトリにアップロードする
2. 管理画面からプラグインをインストールする
3. プラグインの一覧で一番上に表示されていることを確認。

記述はありません。バックグラウンドで稼働するタイプのプラグインです。

オプションはありません。

• 9/8 0.2.5 TitleList、ExtraSkinにて発生する不具合のためアップデート
• 9/6 0.2.3 初版リリース