独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月25日、baserCMSユーザー会が提供するCMS「baserCMS」の複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。CARTA HOLDINGSの小武裕也氏、および三井物産セキュアディレクションの井餘田笙悟氏がIPAに報告を行った。
影響を受けるシステムは次の通り。
・baserCMS 4.7.2 より前のバージョン
脆弱性は次の通り。
・お気に入り登録画面における格納型クロスサイトスクリプティング
(CVE-2022-39325)、CVSS v3による基本値は4.8
・アクセス制限設定画面における格納型クロスサイトスクリプティング
(CVE-2022-41994)、CVSS v3による基本値は4.8
・ユーザーグループ管理機能における格納型クロスサイトスクリプティング
(CVE-2022-42486)、CVSS v3による基本値は4.8
これらの脆弱性が悪用されると、当該製品の管理画面にアクセスしたユーザのWebブラウザ上で、任意のスクリプトを実行される可能性がある。JVNでは、開発者が提供する情報をもとに、最新バージョンにアップデートするよう呼びかけている。
