TwitterやFacebookのクライアントとしてお馴染みのHootSuiteにクロスサイトスクリプティングの脆弱性がありましたので御報告致します。なお、この件は2013年7月12日に発見し、同日IPA(独立行政法人情報処理推進機構)に届出をしております。また、HootSuite Media Inc.にて対応が既になされ、IPAによる取扱いが終了しております。
発見のきっかけは、自分のFacebookへの投稿でした。

たまたま、「<iframe>」という文字列を含む投稿をして、それを自分が管理しているFacebookページにシェアした(画像左側)のですが、その投稿をHootSuiteで見たところ謎の空白が出来ていた(画像右側)んです。一瞬「この空白はなんだろう?」と思ったのですが、良く見ると「<iframe>」という文字列に反応しているらしいことが判りました。
そこで、実験を重ねると...

HootSuiteの中にHootSuiteが...(汗)

ウチのサイトも表示できました。コレは大変だと言う事で、もう一つ。テストページを置いて実験です。

はい。見事、外部に置かれたスクリプトを実行できました。
実は画像は取っていないのですが、Facebookへ「<iframe>」という文字列を含む投稿をして、それをHootSuiteで見ても問題は発生しませんでした。「<iframe>」という文字列を含む投稿をシェアした投稿を見た場合のみ発生するという、ある意味レアな事象だったので今まで発見されなかったのでしょう。ただ、この事象に悪意のある人が気付いた場合、意図的に攻撃をすることが可能になりますので公表を控え、IPAへ届出致しました。
なお、この脆弱性はウェブ版のみで発生する事象であり、iOS版アプリでは発生しておりません。Android版アプリについては弊社にて確認できておりません。

投稿者プロフィール

管理人
管理人