CMS「baserCMS」に複数の脆弱性、最新版へのアップデートを呼びかけ(JVN)
IPAおよびJPCERT/CCは、baserCMSユーザー会が提供するCMS「baserCMS」に複数の脆弱性が存在すると「JVN」で発表した。
脆弱性と脅威
セキュリティホール・脆弱性
影響を受けるバージョンと脆弱性は次の通り。
・baserCMS 4.1.0.1 およびそれ以前のバージョン
・baserCMS 3.0.15 およびそれ以前のバージョン
コマンドインジェクション(CVE-2018-0569)
クロスサイトスクリプティング(CVE-2018-0570)
アップロードファイル管理機能における危険なタイプのファイルの無制限アップロード(CVE-2018-0571)
コンテンツ管理機能におけるアクセス制限不備(CVE-2018-0572)
公開期限が過ぎたコンテンツに対するアクセス制限不備(CVE-2018-0573)
テーマ管理機能におけるクロスサイトスクリプティング(CVE-2018-0574)
メールフォームのファイル添付機能におけるアクセス制限不備(CVE-2018-0575)
JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。なお、CVE-2018-0569はアップデートとともにユーザ認証の設定、CVE-2018-0572はワークアラウンドの実施が必要としている。
《吉澤 亨史( Kouji Yoshizawa )》