いつもShelterをご利用いただきまして、誠にありがとうございます。
Shelterにおけるクロスサイトスクリプティングの脆弱性につきまして以下のとおりお知らせいたします。
■概要
Shelterにおいてクロスサイトスクリプティングの脆弱性が存在することが判明しました。
この脆弱性を悪用された場合、悪意ある第三者の攻撃により、外部の不正なサイトへの誘導やShelterに登録しているデータの情報漏えいや改ざんの危険性があります。
■脆弱性の説明
ログインした一般ユーザがマークダウン形式で入力できる項目(内容、説明項目、コメント等)に対して特殊な表記方法でスクリプトを埋め込むことで、外部サイトへの誘導やShelterが提供するスクリプトを実行できる脆弱性が存在します。
Shelterにログインできない匿名ユーザは本脆弱性を用いた攻撃はできません。(脆弱性を用いた攻撃ができるユーザは、Shelterにログインできるユーザに限ります)
■脆弱性がもたらす脅威
攻撃者が設置したスクリプトにより、悪意のある外部サイトへ誘導されることがあります。
また、Shelterの管理者が攻撃者がスクリプトを設置したページを開いた場合に、Shelterの管理操作を意図せず実行させられる可能性があります。
■改善対応
2023年5月24日のメンテナンスにて対応を実施し、現在は改善されております。
上記の脆弱性に伴う攻撃を実行することはできません。
また、Shelterにおいて本脆弱性を悪用したデータの改ざんや情報漏えい等は確認されておりません。
■オンプレミス版をご利用のお客さま
最新版である1.3.37.3(1.11.0)以降にバージョンアップをお願いいたします。
今後ともShelterをご愛顧のほど、よろしくお願い申し上げます。
