トップ 差分 一覧 ソース 検索 ヘルプ RSS ログイン

BugTrack-wiki/310

ページの作成や編集にはユーザ登録が必要です。

COMMENTプラグインが意図しないページに対して動作可能

  • 投稿者: みうみう
  • カテゴリ: プラグイン
  • 優先度: 普通
  • 状態: リリース済
  • 日時: 2007年08月19日 12時29分50秒

 内容

FSWiki3.6.2で確認いたしました。

Commentプラグインが有効になっている場合、POST内のpageパラメータを変更すると、任意のページにコメントを追加できる、といものです。

ページの更新権限を無視してコメントの追加が可能なようです。

アクションハンドラがpageパラメータで指定されたページに対して無条件に動作するようなので、同様の作りのプラグインでも同じ現象が発生する可能性があると思います。

悪意がない限り発生しない問題と思います。当方、スパムコメントを受けてコメント欄を削除したにも関わらず、スパムコメントが止まらないため気づきました。

 コメント

  • そういった仕様です。『ページの更新権限』はページ全体の更新を指しています。運用形態を考えると納得できるのではないかと思われます。 - あき (2007年08月19日 12時42分58秒)
  • あ、すみません。ページ内にコメントフォームが無いにも関わらず…ってことですね。理解できました。うーむ。元ページ内にコメントプラグインが使われているかどうかチェックするようにする? 負荷が大きいですね。でも、対応しないとまずいのかな? どのサイトのどのページでも追加できるってことになってしまいそうな感じですね。って、そういうことですよね? - あき (2007年08月19日 12時49分36秒)
  • あれ?でもコメントプラグインが使われているかどうかはチェックしていたような…。確認してみますが…。 - あき (2007年08月19日 12時51分08秒)
  • 確認しました。大丈夫ですよ。コメント欄が無ければ投稿されません。Commentプラグインの仕様としては、「投稿されたコメントをコメント欄の直前に挿入する」という仕様ですので、コメント欄を削除したにも関わらず挿入されるっていうのは動きとして考えられないのですが…。コメント欄はページの最下部と決まっているわけではありませんので、挿入したくても挿入位置を決定できません。 - あき (2007年08月19日 13時02分38秒)
  • 最後の一文だけが作り話かな?その一文だけが無ければ、回答としては一番最初にコメントしたとおりです。 - あき (2007年08月19日 13時06分08秒)
  • 確認ありがとうございます。再度確認しました。tailオプションをつけている場合のみ投稿できてしまうようです。tailの時もコメント欄の存在を確認すればいいのかな? - みうみう (2007年08月19日 17時27分19秒)
  • おぉー、tailオプションかぁ。そう言えばそういうのがありましたね。確かに…、仰るとおりページ内容を確認しておりません。存在チェックをすべきです。 - あき (2007年08月19日 17時36分09秒)
  • 3.6.3dev2で修正を取り込みました。 - たけぞう (2007年09月22日 16時58分26秒)
お名前: コメント:

最終更新時間:2007年10月31日 06時55分00秒