独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月29日、OpenPNE 用プラグイン opTimelinePlugin におけるクロスサイトスクリプティングの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。GMOサイバーセキュリティ byイエラエ株式会社の石井健太郎氏が報告を行っている。影響を受けるシステムは以下の通り。
opTimelinePlugin 1.2.11 およびそれ以前のバージョン
OpenPNE プロジェクトが提供する OpenPNE 用プラグイン opTimelinePlugin には、プロフィール編集画面に格納型クロスサイトスクリプティングの脆弱性が存在し、当該製品を使用しているサイトにおいて、あるユーザが自分のプロフィールに細工した内容を設定している場合、他のユーザのウェブブラウザ上で任意のスクリプトを実行される可能性がある。
JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。
