複数ユーザでの使用時にクロスサイトスクリプティングの脆弱性が報告されました。数日前すでに本家から v3.24 としてパッチリリースがあったので、日本語版も作成しました。

ダウンロード、質問等はフォーラムや SourceForge.jp をご利用下さい。

この版には、v3.23 sp3 も組み込んでありますが、一部変更部分がありますので、改めて処理内容など書いておきます。

• $blogid と $archivelist パラメータをプラグインファンクション呼び出し前に整数化しておく。
• $_REQUEST、$_GET パラメータの queryキー以外全てについて、エスケープシーケンス以降の文字列を削除
• $_REQUEST、$_GET のキー自体が汚染されてる場合があるのでその対処。
• REQUEST_URI、QUERY_STRING も同様に対処。
• REQUEST_URI の変換を行った際に管理操作履歴にその 変換内容とアクセス元の IP を記録する。

と、ここまでが sp3 の内容。これにさらに $bLoggingSanitizedResult と $bSanitizeAndContinue パラメータを追加しました（globalfunctions.php）。
前者は、サニタイズ結果をログとしてデータベースに残すかどうかの設定。デフォルトでは残しません。
理由は、最近不正な URL でのアクセスが多く、そのたびにデータベースに記録してると、 共用サーバーなどで、負荷が高くなって停止させられたりするためです。 導入時などに動作確認したい場合のみ値を１にすることをお勧めします。

もう１つは、サニタイズしたあと処理を続行するかどうかの設定。デフォルトでは中断します。
理由は、不正なURLでのアクセスをしてくる相手にまともなページを返すこともない、ということです。 通常サイト側で用意してるリンクをクリックしてるだけなら、サニタイズ対象となるURLを生成して しまうことは無いはずで、もしあるなら事前に修正すべきことなので。

これらの設定変更は管理画面からできると楽なんですが、そうするとデータベースに設定を入れたり、管理画面を変更したり、といろいろ対処しなければいけなくなるので、そいうインターフェースはありません。v3.24 がセキュリティパッチとして早急にリリースされるべきもの、ということを考えると、いまさらいろいろと拡張してる場合でもないので。