Nucleus CMS: Pure Publishing ← でNucleus 3.24海外版が公開中。
内容は"JPCERT Coordination Centerから報告されたXSS脆弱性の修正"とのこと。Nucleus 3.23 SP3 (Nucleus 3.23 日本語版sp3 (非公式版) - Kimitake's blog)で対策された脆弱性とはまた別のもののようです。おそらく閲覧者側から悪用されることはないんじゃないか、と素人考えをしておきます。
追記。閲覧ユーザーによるアカウント作成を許可していると脆弱性が悪用されますね。
変更があるのは以下の3ファイル(うち、globalfunctions.phpはバージョン情報の変更のみ)で、いずれも使用言語に大きく関らない部分です。
- nucleus/libs/ADMIN.php
- nucleus/libs/SKIN.php
- nucleus/libs/globalfunctions.php
一応diffとってコード中の修正点とかまとめてみたんですが、セキュリティ関連ってことで公開は自粛。でも悪意があってここ読むような人は自分でdiffとっちゃう気がする。そもそも善悪関係なくここ読む人がいないのは内緒。
あとNucleus 3.23 SP3に3.24の修正を加えたバージョンって、バージョンいくつになるんでしょうか。3.24 SP?
