独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月18日、a-blog cms における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。株式会社セキュアスカイ・テクノロジーの岩間湧氏、株式会社ラックの山根将司氏、株式会社STNetの森山響氏が報告を行っている。影響を受けるシステムは以下の通り。
・CVE-2022-24374、CVE-2022-23916、CVE-2022-23810
a-blog cms Ver.2.8.75 より前のバージョン (Ver.2.8.x系)
a-blog cms Ver.2.9.40 より前のバージョン (Ver.2.9.x系)
a-blog cms Ver.2.10.44 より前のバージョン (Ver.2.10.x系)
a-blog cms Ver.2.11.42 より前のバージョン (Ver.2.11.x系)
a-blog cms Ver.3.0.1 より前のバージョン (Ver.3.0.x系)
・CVE-2022-21142
a-blog cms Ver.2.8.74 より前のバージョン (Ver.2.8.x系)
a-blog cms Ver.2.9.39 より前のバージョン (Ver.2.9.x系)
a-blog cms Ver.2.10.43 より前のバージョン (Ver.2.10.x系)
a-blog cms Ver.2.11.41 より前のバージョン (Ver.2.11.x系)
有限会社アップルップルが提供する a-blog cms には、クロスサイトスクリプティング(CVE-2022-24374、CVE-2022-23916)、テンプレートインジェクション(CVE-2022-23810)、認証回避(CVE-2022-21142)の脆弱性が存在する。
想定される影響は各脆弱性により異なるが、当該製品にログインした状態のユーザのWebブラウザ上で任意のスクリプトを実行される(CVE-2022-24374)、当該製品の管理者のWebブラウザ上で任意のスクリプトを実行される(CVE-2022-23916)、遠隔のユーザによってサーバ上の任意のファイルを窃取される(CVE-2022-23810)、遠隔の第三者によって特定の条件下において認証を回避される(CVE-2022-21142)可能性がある。
JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。
