cookie で管理者モードを管理している wifky 1.3〜1.5.11_2 にはCSRF脆弱性があることが分かりました。具体的には、wifkyページの管理者がログインしたまま、第三者が設置した「罠ページ」を踏んでしまうと

• 凍結されたページの本文の変更
• 禁止された状態でのページの新規作成
• 凍結されたページの添付ファイルアップロード
• 設定変更(ただし、パスワード変更を除く)
• ページ本文の凍結/解除
• タグの設定/削除
• ページ名・添付ファイル名のリネーム
• ページ内容のロールバック
• 添付ファイルの凍結/凍結解除/ページ間移動

をさせられてしまう恐れがあります。なお、罠ページ一つではそのページに記入された1オペレーションが可能になるだけで、それ以上のことをするには更なる罠ページを踏むことが必要となります。それゆえ、第三者に完全にのっとられるというわけではありません。

本リリースでは、管理者の入力フォーム中に管理者ログインセッション毎にランダムに発行するトークンを埋め込み、フォーム情報受信時に現在のセッションのトークンと同一かを照合することにより、上脆弱性に対処いたしました。このトークンは、管理者モード以外では外部に発信することはないため、これにより罠ページからのフォームデータ送信をはじくことが出来ると考えております。

なお、本体だけでなく、各プラグインについてもCSRF脆弱性の存在がありえますが、 それぞれ順次対応してゆく予定です。

• ((comment -r))で、入力欄の位置も変えるようにしました。