「Apache Sling」のコンポーネントにXSSの脆弱性

ウェブアプリケーションのフレームワークである「Apache Sling」の一部コンポーネントに脆弱性が含まれていることがわかった。

脆弱性情報のポータルサイトであるJVNによれば、「Sling APIコンポーネント2.2.0」および「Servlets Post コンポーネント2.1.0」にクロスサイトスクリプティングの脆弱性「CVE-2015-2944」が存在。ブラウザ上で任意のスクリプトを実行されるおそれがあるという。以前のバージョンも影響を受ける。

脆弱性が解消された新版が公開されている。今回の脆弱性は、DeNAの森槙悟氏と杉山俊春氏が情報処理推進機構（IPA）へ報告。JPCERTコーディネーションセンターが調整を実施した。

（Security NEXT - 2015/05/28 ） ツイート

PR

関連記事

コンタクトセンター向け製品「Cisco Unified CCX」に深刻な脆弱性
「Chrome」のアップデートが公開 - 脆弱性5件に対応
サイクリングイベント参加者へのお礼メールで誤送信 - 栄村
サイトPWなど含む子育て家庭訪問事業の案内を誤送付 - 足立区
複数ECサイトで個人情報流出か、営業は再開 - ユニバーサルミュージック
「SonicWall SMA 100」シリーズに脆弱性 - アップデートが公開
「Progress Flowmon」に脆弱性 - 10月の複数アップデートで修正
WP向けプラグイン「Contact Form CFDB7」に深刻な脆弱性
サイト掲載ファイルに個人情報、紙媒体チェックで気づかず - 一関市
業務用PCが所在不明、端末入替時に紛失か - 日特建設