uApprove.jpご利用のみなさま NIIの西村です。 uApprove.jpの reset-approvals 機能(同意取り消し機能)をStandaloneモード で用いている場合のXSS脆弱性が発見されました。 # ログイン画面にチェックボックスを配置した同意取り消しはIn-flowモードと呼ばれ、 # 本脆弱性の影響を受けません。 Standaloneモードでご利用中の方は、uApprove.warのreset-approvals.jsp に下記ページにあるパッチを適用してください。(本メールにも添付します) https://forge.gakunin.nii.ac.jp/jira/browse/UAPPROVEJP-50 この場を借りて、本脆弱性をご報告いただいた豊橋技術科学大学の土屋先生に感謝いたします。 -- 西村健 国立情報学研究所 TEL:03-4212-2890
Attachment:
resetapprovals-escapeurl.patch
Description: Binary data