ダウンロード数/...最新バージョン/...

ダウンロード数/
...
最新バージョン/
...

SECURITY セキュリティ情報

2020/01/30 コードインジェクション、XSSの脆弱性

baserCMSに、コードインジェクションとXSSの脆弱性があります。
baserCMSの旧バージョンにおいて、運営者自身以外の不特定多数のユーザーに管理システムへのログインを許可した上で運営されている場合に対応が必要となる脆弱性です。対象となる方は、早急にセキュリティパッチを適用するか、新バージョンへアップデートをお願いします。

公開日

2020/01/30

影響を受けるシステム

  • baserCMS 4.3.0 およびそれ以前のバージョン

想定される影響

  • (1)コードインジェクション
    運営者自身以外のユーザーに管理システムへのログインを許可している場合、テーマ設定より任意のコードを実行される可能性があります。
  • (2)クロスサイトスクリプティング
    運営者自身以外のユーザーに管理システムへのログインを許可している場合、エディタテンプレート及びフィード設定より任意のコードを実行される可能性があります。

対策方法

最新バージョンにアップデートする

最新バージョンにアップデートすることで対応する事ができます。
次のページより最新バージョンのダウンロードを行い、リリースノートに基づきバージョンアップ作業を行います。

修正プログラムを適用する

早急に対応する場合には提供されている修正プログラムを適用します。

謝辞

この脆弱性情報公表にあたり、報告者である topsec(suwang) に謝辞を申し上げます。