独立行政法人情報処理推進機構セキュリティセンター(IPA/ISEC)および有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)は2月25日、PEAK XOOPS製のXOOPS用スケジューラ付きカレンダーモジュール「piCal」にクロスサイトスクリプティングの脆弱性が存在すると公表した。
この脆弱性が悪用されると、ユーザーのウェブブラウザ上で任意のスクリプトを実行される可能性がある。影響を受けるバージョンはpiCal Version 0.91hおよびそれ以前。PEAK XOOPSでは脆弱性を解消した最新バージョンを提供しており、該当するバージョンを使用しているユーザーに対して、0.92以降にバージョンアップするよう呼びかけている。
なお、JVNではこの脆弱性について、以下のように分析している。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」