XSS
日付
2016年3月1日
説明
SecureモジュールのログインページにXSSの脆弱性が発見されました。
影響
Secureモジュールのデフォルトログインページを使用するあらゆるアプリケーション。
影響を受けるバージョン
- Play 1.2.0 - 1.2.7
- Play 1.3.0 - 1.3.3
- Play 1.4.0 - 1.4.1
回避策
modules\secure\app\views\Secure\login.htmlを変更します。
&{flash.error}
以下のようにします。
${messages.get(flash.error)}
そして
&{flash.success}
以下のようにします。
${messages.get(flash.success)}
修正
以下で適切なバージョンにアップグレードします。
感謝
この脆弱性の発見は、ElevenPathsのRicardoMartínの功績です。