独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は1月22日、「a-blog cms」に複数の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。
有限会社アップルップルが提供するa-blog cmsには、次の複数の脆弱性が存在する。
・不適切な入力検証(CVE-2024-23180)
CVSS v3による基本値:3.5
・クロスサイトスクリプティング(CVE-2024-23181)
CVSS v3による基本値:6.1
・相対パストラバーサル(CVE-2024-23182)
CVSS v3による基本値:5.0
・クロスサイトスクリプティング(CVE-2024-23183)
CVSS v3による基本値:5.4
・不適切な入力検証(CVE-2024-23348)
CVSS v3による基本値:5.4
影響を受けるシステムは次の通り。
・a-blog cms Ver.3.1.7 より前のバージョン (Ver.3.1.x系)
・a-blog cms Ver.3.0.29 より前のバージョン (Ver.3.0.x系)
・a-blog cms Ver.2.11.58 より前のバージョン (Ver.2.11.x系)
・a-blog cms Ver.2.10.50 より前のバージョン (Ver.2.10.x系)
なお、開発者によると、すでにサポートが終了している a-blog cms Ver.2.9.0 以前のバージョンも本脆弱性の影響を受けるとしている。
想定される影響は各脆弱性により異なるが、これらの脆弱性が悪用されると次のような影響を受ける可能性がある。
・細工されたSVGファイルをアップロードされ、結果として任意のコードを実行される(CVE-2024-23180)
・当該製品にログインした状態のユーザのWebブラウザ上で、任意のスクリプトを実行される(CVE-2024-23181、CVE-2024-23183)
・サーバー上の任意のファイルを削除される(CVE-2024-23182)
・細工されたSVGファイルをアップロードされ、結果として任意のJavaScriptを実行される(CVE-2024-23348)
JVNでは、開発者が提供する情報をもとに最新版にアップデートするよう呼びかけている。
これらの脆弱性は、下記の方々が報告を行っている。
・宮口直也氏(CVE-2024-23180)
・GMOサイバーセキュリティ byイエラエ株式会社の石井健太郎氏(CVE-2024-23181)
・三井物産セキュアディレクション株式会社の東内裕二氏(CVE-2024-23182、CVE-2024-23183)
・情報科学専門学校の森岡優太氏(CVE-2024-23348)
