にーやんのブログ :: Blosxom 2.1.1 以前にクロスサイトスクリプティングの脆弱性 で blosxom に XSS 脆弱性があることを知りました. 珍しくblosxom の文字が RSS のヘッドラインに出たかと思ったらよくないニュースでした(笑) デフォルトテンプレートに含まれるコードによって悪意あるユーザーからの干渉を受ける可能性があるようです.
アップデートしようにも 2.1系は2.0とは違う部分が多そうなので, にーやんさんと同じく SourceForge で提唱されている blosxom.cgi 内のコードの修正を行いました. HTML も RSS も flavour で出力してるからデフォルトの部分は全削除でいい気もします.
- JVN#03300113: Blosxom におけるクロスサイトスクリプティングの脆弱性
- [Blosxom-users] Blosxom 2.1.2 fixes a cross-site scripting (XSS) issue – SourceForge
WordPress に替えるつもりなのでこれも流れのひとつかな.