CodeIgniter Localizing into Japanese

[Codeigniter-users] 【注意喚起】CodeIgniter 1.7.2 Formヘルパーの脆弱性

Kenji Suzuki kenji****@gmail*****
2010年 3月 16日 (火) 10:07:28 JST

• 前の記事 [Codeigniter-users] 第51回PHP勉強会@関東
• 次の記事 [Codeigniter-users] 【注意喚起】CodeIgniter 1.7.2 Formヘルパーの脆弱性
• 記事の並び順: [ 日付 ] [ スレッド ] [ 件名 ] [ 著者 ]

Kenji です。


CodeIgniter 1.7.2 の Formヘルパー の set_value() で同じフィールドを 
2回目以上表示すると 2回目以降は文字参照に変換されず XSS脆弱性になる
可能性があります。

詳細
http://d.hatena.ne.jp/Kenji_s/20100316/1268701194

これ、なかなか修正されないのでバグでないのかも知れませんが。
このバグに当たるような実装をすることは少ないと思いますが、知らずに
やってしまうと危険ですので、注意喚起しておきます。


本家では、以下に書き込みがあります。バグだと思われる方は、「バグなので
直してくれ」みたいなことを書き込んでもらえるといいかもしれません。

    * http://codeigniter.com/bug_tracker/bug/11284/
    * http://codeigniter.com/forums/viewthread/139112/


// Kenji

• 前の記事 [Codeigniter-users] 第51回PHP勉強会@関東
• 次の記事 [Codeigniter-users] 【注意喚起】CodeIgniter 1.7.2 Formヘルパーの脆弱性
• 記事の並び順: [ 日付 ] [ スレッド ] [ 件名 ] [ 著者 ]