PEAK XOOPS - piCal-0.91のXSS脆弱性

piCal-0.91h にXSSが見つかりました。

以下のいずれかの対策をとることをお奨めします。

(1) 最新版(0.92以上)にアップデートする（特にカスタマイズ等していない場合）
(2) 最新版(0.92以上)からindex.phpのみ抜き出して上書きする（あちこち手を入れている場合）
(3) 自分でパッチを当てる（ある程度スキルがあり、運用環境への影響を最小限にしたい場合）

単純な見落としXSSで、見つかったのも１行だけなので、手作業でも簡単です。
index.php 154行目

なお、Protectorをちゃんとインストールして、「大きな傘 anti-XSS」を有効にしていれば慌てる必要はありません。極めて典型的なXSSなので、このanti-XSSがバッチリ効きます。
それでも、何かのついでにpiCalをアップデートしておいた方が良いでしょう。

ぶっちゃけた話、piCalは私がJM2さんに師事する前に書いたWebアプリケーションなので、元は「全部穴」でした。その状態のアプリケーションに修正・修正を重ねてここに至っているので、他にも見落としがある可能性はまだあります。（JM2師匠なら「捨てろ」の一言でしょうが）しかも、今はほとんどメンテしてませんので、今後、私が自分で穴を見つける可能性も低いでしょう。

piCalを使い続けるのであれば、Protectorの「大きな傘 anti-XSS」を有効にすること（または有効であると確認すること）を、強くお奨めします。
もちろん、piCalを使わない人にもお奨めします。
多くのユーザがこの「大きな傘」を長い期間利用しているはずですが、それによる不具合報告は１件もなかったので、少なくとも副作用はほぼ問題ないと言えそうですから。