Fusion newsの「id」パラメータによるクロスサイトスクリプティング
原題:Fusion news "id" Cross Site Scripting Vulnerability
■危険度・緊急度
2/5:それほど重要ではない
■インパクト
リモートからのクロスサイトスクリプティングを利用した情報の奪取
■概要
「fullnews.php」の中の「id」パラメーターに渡される値のチェックが適切に行われないために、任意のHTMLあるいはスクリプトを作成できてしまう脆弱性がある。
そのためクロスサイトスクリプティングを起こすコードを作成可能となり、作成したページへユーザを誘い込むことでユーザ情報などを奪取することができてしまう。
■影響のあるプラットフォーム・アプリケーション
3.6.1
■対処
ソースコードの修正
■情報元・関連情報