アフィリエイトIDが書き換わる脆弱性について
本日20時頃、特定のタグを貼り付けたページを閲覧するだけで、はてなにご登録いただいているアフィリエイトIDが書き換わってしまう脆弱性が存在する事が判明しました。
この脆弱性について、先ほど修正を行いました。現在、この脆弱性は修正されております。
脆弱性の内容
特定の引数を指定した画像タグを使用する事で、ページの閲覧者がアフィリエイトページで設定を変更した操作と同等の操作が可能となっておりました。
今後の対応について
現在被害状況を調査中ですが、アフィリエイトIDの書き換えが行われた方が現在200名程度確認されています。
今後さらに詳細な調査を行い、被害者の方には随時個別に今回の状況説明と、アフィリエイトID再設定のご連絡を行わせていただきます。
また、同様の脆弱性が存在しないか、改めて他のページについても確認を行います。
このたびははてなシステムの不備により、ユーザーの皆様にご迷惑をおかけし大変申し訳ございませんでした。
追記 12/27
アフィリエイトID再設定はMyはてなの「ユーザー登録・変更」中の「はてなアフィリエイト設定」より設定いただけます。被害にあわれた方には別途メールにてご連絡を差し上げさせていただきます。