#author("2022-09-07T00:19:30+09:00","","")
#author("2022-09-14T01:53:43+09:00","","")
#freeze
* PukiWiki過去バージョンに含まれる複数の脆弱性 - [[umorigu]] [#da4c5e6a]
PukiWiki 1.5.3 までのバージョンに複数の脆弱性が見つかりました。
管理者の方は [[official:PukiWiki/Errata]] を参照し、早急に PukiWiki 1.5.4 にバージョンアップするか、暫定的な「回避策」の適用をお願いします。
脆弱性のうちの一つは 2002年リリースの PukiWiki 1.3.1 から存在する脆弱性です。PukiWikiで構築された多くのサイトが対象になります。
[[JPCERT/CC>https://www.jpcert.or.jp/]] により2件のJVNアドバイザリが公開されています。
- https://jvn.jp/jp/JVN43979089/ PukiWiki におけるクロスサイトスクリプティングの脆弱性 (JVN#43979089)
-- CVE-2022-36350 ウェブブラウザ上で、任意のスクリプトを実行される
--- https://jvndb.jvn.jp/ja/contents/2022/JVNDB-2022-000063.html
- https://jvn.jp/vu/JVNVU96002401/ PukiWikiにおける複数の脆弱性 (JVNVU#96002401)
-- CVE-2022-34486 管理者によって、悪意のあるスクリプトを実行される
-- CVE-2022-27637 ウェブブラウザ上で、任意のスクリプトを実行される
----
- pukiwiki 1.5.4も結構バグがあるようですが、1.5.5まで待った方がいいのでしょうか -- [[匿名]] &new{2022-09-07 (水) 00:19:30};
-- 1.5.5は待たず、1.5.4にバージョンアップしてください。 「1.5.4のバグ」は例えばどれのことです? (PukiWikiの中では一番バグの少ないバージョンです) -- [[umorigu]] &new{2022-09-14 (水) 01:53:43};
#comment
![[PukiWiki]](image/pukiwiki-dev.png "[PukiWiki]")
