セキュリティ

SECURITY

Learn

公開:

YesWikiのコメント機能にXSS脆弱性CVE-2025-46346、4.5.4で修正

text: XEXEQ編集部
(記事は執筆時の情報に基づいており、現在では異なる場合があります)

関連するタグ
目次
  1. 記事の要約
  2. YesWikiのセキュリティ脆弱性に関する情報公開
  3. 脆弱性に関する詳細情報
  4. クロスサイトスクリプティング(XSS)について
  5. YesWikiの脆弱性に関する考察
  6. 参考サイト

記事の要約

  • YesWiki 4.5.4未満のバージョンのコメント機能に脆弱性CVE-2025-46346が発見された
  • 保存型クロスサイトスクリプティング(XSS)脆弱性により、悪意のあるJavaScriptコードが実行される可能性がある
  • 4.5.4以降のバージョンでは修正済みである

YesWikiのセキュリティ脆弱性に関する情報公開

GitHubは2025年4月29日、PHPで記述されたWikiシステムYesWikiにおけるセキュリティ脆弱性に関する情報を公開した。この脆弱性は、YesWikiのコメント機能に存在する保存型クロスサイトスクリプティング(XSS)であることが判明している。

この脆弱性により、攻撃者はコメント欄に悪意のあるJavaScriptコードを埋め込むことが可能だ。このコードは、コメントを表示するすべてのユーザーのブラウザで実行されるため、機密情報の窃取やウェブサイトの改ざんなど、深刻な被害につながる可能性があるのだ。

脆弱性の原因は、ユーザー入力の適切なサニタイズ処理やエンコード処理が不十分な点にある。具体的には、`

ブログに戻る
ALL
トピックス
2024年 10月 13日
エス・エム・エスがケアマネ試験解答速報を提供、ウェルミージョブとケア人材バンクで自己採点ツールも利用可能に
2025年 5月 29日
R/GAと富士通の「Carbon Cakes」がCreative Review Annual Awardsで「Creative Use of Data」賞を受賞
2025年 5月 29日
株式会社ソフィアが新規事業提案制度に関する無料オンラインセミナーを5月29日に開催
2025年 5月 29日
株式会社HATARABAがプロパティマネジメント事業を開始、ビルオーナーの収益最大化を支援
2025年 5月 29日
三井屋工業と鳥取大学、リサイクル培地「ふわっ土」の共同研究開始で農業分野進出加速
 最新のIT情報を見る
2024年10月13日
エス・エム・エスがケアマネ試験解答速報を提供、ウェルミージョブとケア人材バンクで自己採点ツールも利用可能に
2025年5月29日
R/GAと富士通の「Carbon Cakes」がCreative Review Annual Awardsで「Creative Use of Data」賞を受賞
2025年5月29日
株式会社ソフィアが新規事業提案制度に関する無料オンラインセミナーを5月29日に開催
2025年5月29日
株式会社HATARABAがプロパティマネジメント事業を開始、ビルオーナーの収益最大化を支援
2025年5月29日
三井屋工業と鳥取大学、リサイクル培地「ふわっ土」の共同研究開始で農業分野進出加速
 「ITトピックス」

コメントを残す

コメントは公開前に承認される必要があることにご注意ください。