過去の重要な不具合

はてブ数

Ver3.00以降に修正された中で重要な不具合の履歴です。

致命的なセキュリティホール

特に無し。

第三者レンタル時のセキュリティホール

http://blog.abk.nuのように第3者にレンタルをしている場合に発生するセキュリティホール。

  • (Ver3.09以前) HTMLの属性に「data-url=""」が記述できることによる、XSS脆弱性。
  • (Ver3.03以前) コメント文に「<!--[if IE]><script>alert(1)</script><![endif]-->」などと記述することでIE9以前でスクリプトが実行可能。
  • (Ver3.02以前)「admin_trsut_mode」が有効なとき、管理者がブログの再構築を行うと「trsut_mode」で記事が再構築されてしまう。問題に対処するため、blogidと同じユーザーidを参照し、そのidが存在し管理者でない場合は再構築時にtrsut_modeをoffにするよう仕様変更しました。*1

*1 : すでにそのような状況の場合は、システム管理→アップデートから全ブログを再構築してください。

OK キャンセル 確認 その他