SECURITY セキュリティ情報
2020/08/27 コードインジェクション、XSSの脆弱性
baserCMSの管理画面にコードインジェクションとXSSの脆弱性があります。
管理画面を不特定多数のユーザーに利用させている場合に対応が必要となる脆弱性です。対象となる方は、早急に新バージョンへアップデートするか、セキュリティパッチの適用をお願いします。
公開日
2020/08/27
影響を受けるシステム
- baserCMS 4.3.6 およびそれ以前のバージョン
想定される影響
- (1)コードインジェクション
システム管理者にてログインしPHPファイル等の実行可能なスクリプトファイルをアップロードすることで、コードを実行される可能性があります。 - (2)クロスサイトスクリプティング
コンテンツ管理画面、システム設定、テーマファイル編集にアクセス可能なアカウントにて特定の文字を入力することでコードを実行される可能性があります。
対策方法
最新バージョンにアップデートする
最新バージョンにアップデートすることで対応する事ができます。
次のページより最新バージョンのダウンロードを行い、リリースノートに基づきバージョンアップ作業を行います。
修正プログラムを適用する
早急に対応する場合には提供されている修正プログラムを適用します。
謝辞
この脆弱性情報公表にあたり、報告者である Aquilao Null氏、stypr氏に謝辞を申し上げます。