[hnsドキュメント]

ハイパー日記システム Version 2.20

既知のバグ


最新のバグの状況につきましては、 バグ報告システム をご覧下さい。

webif direct モード CSRF脆弱性
webif.cgi を direct モードで動作させている場合、悪意ある第三者が特殊なURLや外部ウェブページを生成することで,日記の改竄や 削除などを,日記管理者に不正に行わせることができる可能性があり, また,日記本文内にスクリプトを埋め込めます.

これにより,クロスサイトスクリプティング (XSS) の要領で 管理者のID (cookie) を窃取でき,管理者権限を奪えます.

管理者権限が奪取された場合,日記の改竄や削除,秘密日記の閲覧 などが可能となります.

バグです。hns-2.19.6 で修正されました。
(2005/9/1)
webif direct モード・セキュリティ・バグ
webif.cgi を direct モードで動作させている場合、任意の攻撃者が 日記を書き換える事ができます。

バグです。hns-2.19.3 で修正されました。
(2002/2/11)
クロス・サイト・スクリプティング(CSS) 脆弱性
log.cgi および title.cgi にクロス・サイト・スクリプティング(CSS) 脆弱性 が存在しています。悪意のある、リモート・ユーザが日記管理者や読者の RURIコード(クッキー)を盗むことができます。

バグです。hns-2.19.3 で修正されました。
(2002/2/11)
webif ニューイヤー・バグ
webifから日記・予定を更新した時に、その年のディレクトリが 存在しない場合、モードによっては更新した内容が破棄されてしまう。

バグです。hns-2.19.3以降で修正されています。
(2001/12/27)
webif 改行コード・バグ
webif から日記を更新すると、改行コードが変更されてしまい、 日記の表示がおかしくなる場合がある。

ブラウザの問題ともいえますが、現在調査中です。
(2001/9/9)
index.cgi ハード・コード・バグ
ソースの至るところに index.cgi とハード・コードされている。

index.cgi のファイル名を変更しない限り、問題はありません。
(2001/8/15)

ハイパー日記システム Version 2.20


Index