QM+(QuickManager) にXSS脆弱性・対策パッチ配布

2009年10月19日 00時00分 shortlink:http://modx.jp/?id=136

modxプラグインのQM+(QuickManager) にXSS脆弱性が発見されました。QM+はmodx1.0.0から同梱されているプラグインであり、影響を受けるmodxは次のとおりです。

今回発見された脆弱性にQM+の利用の有無は関係ないため、プラグインの設定画面上でQM+を無効にしてもリスクを回避できません。また、1.0.0よりも以前のバージョン(modx0.9.6.3等)はQM+が同梱されていないため、この脆弱性の影響を受けませんが、別途QM+をインストールしている場合はその影響を受けます。

なお、QM+自体は最新のバージョン1.3.3で問題が修正されています。

[QuickManager+ version 1.3.3]
http://modxcms.com/forums/index.php/topic,38606.msg245756.html#msg245756

日本版modxではXSS脆弱性を修正したバージョンmodx1.0.0J-p1をリリースしました。新規にmodxをインストールする場合はこちらをお使いください。本体の不具合ではないため今回はインストーラでのアップデートには対応しません。また、脆弱性の影響を受けるmodxを利用している方は以下のいずれかの対策を行ってください。

対策1:QM+を最新版1.3.3へアップグレードする

 QM+を脆弱性が修正されたバージョン1.3.3以上にバージョンアップします。

対策2:修正パッチを適用する

modx 1.0.0J、modx 1.0.0用のパッチを用意しました。手軽に適用できるため推奨します。

http://modx-ja.googlecode.com/files/patch_modx-1.0.0J_qm.zip

ファイルをひとつ上書きするだけです。configやデータベースの更新作業などは不要です。解凍すると中にreadme.txtがあるので、そちらの指示に従ってパッチの適用を行ってください。

対策3:QM+を削除する

QM+を利用しなければQM+を削除しても構いません。管理画面上でQM+を削除した上、/assets/plugins/qm/以下のファイルを全て削除する必要があります。また、QM+全てを削除しなくても、以下のファイルを削除するだけでも脆弱性を回避できます。

/assets/plugins/qm/close.php

PR

  • KAGOYA
  • ASP at AKIHABARA Japan
  • CMS AWARDS 2007 Winner
ページトップへ