アフィリエイトIDが書き換わる脆弱性について

アフィリエイトIDが書き換わる脆弱性について

本日20時頃、特定のタグを貼り付けたページを閲覧するだけで、はてなにご登録いただいているアフィリエイトIDが書き換わってしまう脆弱性が存在する事が判明しました。

この脆弱性について、先ほど修正を行いました。現在、この脆弱性は修正されております。

脆弱性の内容

特定の引数を指定した画像タグを使用する事で、ページの閲覧者がアフィリエイトページで設定を変更した操作と同等の操作が可能となっておりました。

今後の対応について

現在被害状況を調査中ですが、アフィリエイトIDの書き換えが行われた方が現在200名程度確認されています。

今後さらに詳細な調査を行い、被害者の方には随時個別に今回の状況説明と、アフィリエイトID再設定のご連絡を行わせていただきます。

また、同様の脆弱性が存在しないか、改めて他のページについても確認を行います。

このたびははてなシステムの不備により、ユーザーの皆様にご迷惑をおかけし大変申し訳ございませんでした。

追記 12/27

アフィリエイトID再設定はMyはてなの「ユーザー登録・変更」中の「はてなアフィリエイト設定」より設定いただけます。被害にあわれた方には別途メールにてご連絡を差し上げさせていただきます。