「baserCMS」にOSコマンドインジェクションなど複数の脆弱性、アップデートを呼びかけ | ScanNetSecurity
2026.07.05(日)

「baserCMS」にOSコマンドインジェクションなど複数の脆弱性、アップデートを呼びかけ

IPAおよびJPCERT/CCは、baserCMSユーザー会が提供する「baserCMS」に複数の脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月27日、baserCMSユーザー会が提供する「baserCMS」に複数の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。

 影響を受けるシステムは次の通り。

・baserCMS 5.0.8 およびそれ以前のバージョン

 これらのバージョンには、次の脆弱性が存在する。

・サイト内検索機能における反射型クロスサイトスクリプティング(CVE-2023-44379)CVSS v3基本値:6.1
・コンテンツ管理機能における格納型クロスサイトスクリプティング(CVE-2024-26128)CVSS v3基本値:5.4
・OS コマンドインジェクション(CVE-2023-51450)CVSS v3基本値:8.1

 想定される影響は各脆弱性により異なるが、次のような影響を受ける可能性がある。

・当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される(CVE-2023-44379)
・当該製品の管理画面にアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される(CVE-2024-26128)
・遠隔の第三者によって、任意のOSコマンドを実行される(CVE-2023-51450)

 JVNでは、開発者が提供する情報をもとに最新版にアップデートするよう呼びかけている。この脆弱性は、「baserCMS 5.0.10」で修正されている。

 これらの脆弱性は、次の方々によりIPAに報告された。
・内田裕介氏(CVE-2023-44379)
・GMOサイバーセキュリティ byイエラエ株式会社の石井健太郎氏(CVE-2024-26128)
・谷崎俊介氏(CVE-2023-51450)

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

PageTop

アクセスランキング

  1. セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

    セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

  2. 日経225構成企業の217社で情報漏えいを確認

    日経225構成企業の217社で情報漏えいを確認

  3. リコー製 Web Image Monitor を実装している複数のレーザープリンタおよび複合機(MFP)にオープンリダイレクトの脆弱性

    リコー製 Web Image Monitor を実装している複数のレーザープリンタおよび複合機(MFP)にオープンリダイレクトの脆弱性

  4. サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

    サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

  5. 何が変わった?「政府機関等の対策基準策定のためのガイドライン(令和 7 年度版)」一部改定

    何が変わった?「政府機関等の対策基準策定のためのガイドライン(令和 7 年度版)」一部改定

ランキングをもっと見る
PageTop