今朝、HAIK dlbutton pluginが誤動作しました。

HAIKのどこかに脆弱性があり、
攻撃されたのではないかと思っています。


最終的には、
プラグインが下記のアラートを出して誤動作が止まりました。

><javascript:alert(String.fromCharCode(88,83,83));">


攻撃目標は、サーバー上に保存されているパスワードで
etc/passwdというディレクトリーを攻撃者がサーチし、
パスワードを盗み出そうとした形跡があります。


HAIK開発チームによる
セキュリティアップデートがあるのが望ましいですが、
開発が止まっているのが実態であり、
HAIKの利用にはセキュリティ面で相応のリスクがあると思います。


■ユーザー側でできる対策
�@HAIKの機能として、
　パスワードが平文でサーバーに保存されているのか、
　暗号化されているのか、分かりませんが、
　HAIKに使うユーザー名とパスワードは、悪意ある第三者に盗まれても
　影響の少ないものにしておく必要があると思います。

�Aセキュリティアップデートが実施されるシステムへの移行


以上、情報共有まで

＞dlbutton pluginが誤動作しました。

このプラグインの脆弱性は大規模ハッキング事件のあと，6.0.8で修正されたので，それ以後のバージョンでも新たな問題があるということですか？
　現在HAIKのバージョンは7.3.0です。
　6.0.8以降はセキュリティー関連のアップデートはなく，バグ修正のみです。
　

2016年の後半にダウンロード関係は大問題となり修正があったような記憶があります。
それとは違う不具合でしょうか。
最新バージョンは修正済みかもしれません。
又、不具合があった時に悪さをするプログラムを仕込まれていて
それを最近利用された事は考えられないでしょうか。
利用されているバージョンも記載していただければと思います。

過去の参考URL
https://haikforum.qhmtips.com/patio/patio.cgi?read=57&ukey=0&log=past

脆弱性？匿名では信用性無いですから、ホームページのURLを書いてもらえますか？