はてなダイアリー内で、画像のURLなどにjavascriptの実行が可能な文字列を指定できる脆弱性があり、さきほどこの問題を修正しました。
この問題は、imgタグのsrc属性内に実体参照などを用いてjavascriptのコードが記述できる問題でした。はてな内では、自由にURLが記述できる部分でURLの無害化処理を行っておりましたが、この処理が不十分な部分があり、脆弱性が存在しておりました。
ご指摘頂いたユーザー様、有難うございました。
はてなダイアリー内で、画像のURLなどにjavascriptの実行が可能な文字列を指定できる脆弱性があり、さきほどこの問題を修正しました。
この問題は、imgタグのsrc属性内に実体参照などを用いてjavascriptのコードが記述できる問題でした。はてな内では、自由にURLが記述できる部分でURLの無害化処理を行っておりましたが、この処理が不十分な部分があり、脆弱性が存在しておりました。
ご指摘頂いたユーザー様、有難うございました。