本日、昨日発見されたAmebaなう(PC版)の脆弱性と同様の脆弱性がAmebaブログにも発見された。 投稿に記載されたURLに飛ぶと、勝手に投稿されることが判明。 必須項目のうち、数字で記載が必要なもののひとつはランダムに生成することで、広範なユーザーへ影響を及ぼすことが可能であることが判明した。
今のところ、サイバーエージェント社は沈黙しているが、当方でサンプルスクリプトを使って動作させたところ、いとも簡単に投稿できてしまった。 サンプルスクリプトは自分自身のブログへの投稿のみだが、チョットした知識があれば広範なユーザーへ影響を及ぼすスクリプトを生成することは可能。
現在のところ、サービスを停止するなどの処置はとっていない。
コメント