CAPTCHAスクリプトにXSS

多くのWebサイトで攻撃や不正利用を防ぐ為に利用されている変形文字認証CAPTCHAを実装したjQueryにクロスサイトスクリプティングの欠陥がある模様。

脆弱性はjQuery Validation Pluginのバージョン1.13.0に存在する。

そうだ。

参照

ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/

• Googleが改良型CAPTCHAを発表、正規ユーザーの識別が容易に 2013年10月28日
• CAPTCHAスクリプトに起因する脆弱性、数百万サイトに影響の恐れ 2014年11月21日

Sijmen Ruwhof Weblog http://sijmen.ruwhof.net/

• Cross-site scripting in millions of web sites 2014年11月18日

DMMニュース - 「アガるニュース」を毎日無料配信 http://dmm-news.com/

• 解読できないことも…画像認証「CAPTCHA」ってどうなのよ？ - DMMニュース 2014年11月12日

The Official CAPTCHA Site http://www.captcha.net/

jQuery http://jquery.com/

Wikipedia http://ja.wikipedia.org/wiki/

• CAPTCHA
• jQuery
• クロスサイトスクリプティング