Final β Laboratoryからの情報

「MyWebSearch」Ver.1.22 およびそれ以前に存在する脆弱性の内容は、入力されたキーワードのエスケープが適切ではないため、CGIの呼び出し時にパラメーター 「keywords」に対してHTMLを含む文字列を指定することにより、その内容がそのまま表示されるというものです。これにより、ブラウザー上で任意のスクリプトが実行される恐れがあります。

攻撃手段としては、スクリプトなどを仕込んだkeywordsパラメーターを含むCGI呼び出し用URLを生成し、別のWebページ上からのリンクなどで誘導する、といったものが考えられます。このように、攻撃者は攻撃対象者を何らかの手段で特定のURLにアクセスさせる必要があるため、本脆弱性の影響は、単にスクリプト等を仕込んだWebページへアクセスを誘導するのと同程度に限定的であると作者は考えています。

なおこの脆弱性により、本スクリプトを設置したサーバー上の情報が漏洩することはありません。