Mozilla Foundation セキュリティアドバイザリ 2005-20
- タイトル
- XSLT が任意のホストからスタイルシートを取り込める
- 重要度
- 低
- 危険度
- 高
- 報告者
- Georgi Guninski
- 影響を受ける製品
- Firefox
- Mozilla Suite
- 修正済みのバージョン
- Firefox 1.0.1
- Mozilla Suite 1.7.6
概要
xsl:include と xsl:import を使って、ユーザのファイアウォールで遮断されているドメインを含め、任意のドメインから XSLT スタイルシートを取り込むことが可能です。これにより、少なくともそれらのファイルが存在するかどうかを調べることができますが、もしデータを取り出せる場合、どのくらいのデータを任意の XML ファイルから抽出できるかということについては明らかになっていません。
回避策
- 修正済みのバージョンにアップグレードしてください。