[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00840] uApprove.jpの特定の設定でのXSS脆弱性の周知とパッチ適用のお願い



uApprove.jpご利用のみなさま
NIIの西村です。

uApprove.jpの reset-approvals 機能(同意取り消し機能)をStandaloneモード
で用いている場合のXSS脆弱性が発見されました。
# ログイン画面にチェックボックスを配置した同意取り消しはIn-flowモードと呼ばれ、
# 本脆弱性の影響を受けません。

Standaloneモードでご利用中の方は、uApprove.warのreset-approvals.jsp
に下記ページにあるパッチを適用してください。(本メールにも添付します)
https://forge.gakunin.nii.ac.jp/jira/browse/UAPPROVEJP-50

この場を借りて、本脆弱性をご報告いただいた豊橋技術科学大学の土屋先生に感謝いたします。

-- 
西村健
国立情報学研究所 TEL:03-4212-2890

Attachment: resetapprovals-escapeurl.patch
Description: Binary data