SECURITY セキュリティ情報

baserCMSの管理画面にコードインジェクションとXSSの脆弱性があります。
管理画面を不特定多数のユーザーに利用させている場合に対応が必要となる脆弱性です。

baserCMSブログ記事詳細画面にXSSの脆弱性があります。
ブログコメントを利用し、かつ対策が行われていないテーマを利用していた場合に対応が必要となる脆弱性です。

対象となる方は、早急に新バージョンへアップデートをお願いします。
※ バージョン毎のセキュリティパッチは近日中に提供予定です。

公開日

2020/10/29

影響を受けるシステム

• baserCMS 4.4.0 およびそれ以前のバージョン

想定される影響

• (1)コードインジェクション
  システム管理者にてログインしPHPファイル等の実行可能なスクリプトファイルをアップロードすることで、コードを実行される可能性があります。
• (2)管理画面におけるクロスサイトスクリプティング
  管理画面における、ファイルアップロード機能カテゴリ一覧、サブサイト設定一覧、ウィジェットエリア編集、フィード一覧にアクセス可能なアカウントにて特定の文字を入力することでコードを実行される可能性があります。
• (3)ブログコメント表示画面におけるクロスサイトスクリプティング
  ブログコメントのお名前.ニックネームに特定の文字を入力することでコードを実行される可能性があります。

対策方法

最新バージョンにアップデートする

最新バージョンにアップデートすることで対応する事ができます。
次のページより最新バージョンのダウンロードを行い、リリースノートに基づきバージョンアップ作業を行います。

• baserCMS ダウンロード

謝辞

この脆弱性情報公表にあたり、報告者である  Aquilao Null氏に謝辞を申し上げます。