独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月8日、a-blog cms におけるディレクトリトラバーサルの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。GMOサイバーセキュリティ byイエラエ株式会社の石井健太郎氏が報告を行っている。影響を受けるシステムは以下の通り。
a-blog cms Ver.3.1.9 およびそれ以前のバージョン (Ver.3.1.x系)
a-blog cms Ver.3.0.30 およびそれ以前のバージョン (Ver.3.0.x系)
a-blog cms Ver.2.11.59 およびそれ以前のバージョン (Ver.2.11.x系)
a-blog cms Ver.2.10.51 およびそれ以前のバージョン (Ver.2.10.x系)
※サポート終了している a-blog cms Ver.2.9 以前のバージョンも含む
有限会社アップルップルが提供するコンテンツ管理システム(CMS)a-blog cms には、ディレクトリトラバーサルの脆弱性が存在し、当該製品にログイン可能な「編集者」権限以上のユーザによって、パスワードファイルを含むサーバ上の任意のファイルを窃取される可能性がある。
JVNでは、開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけている。
または、下記ファイルを削除することで本脆弱性の影響を回避することが可能となる。
php/ACMS/POST/PingWeblogUpdate.php
